Le Gouvernement a décidé de rendre public l'avis du Conseil d'État sur un projet de loi visant à sécuriser et réguler l’espace numérique.
1. Le Conseil d’Etat a été saisi le 4 avril 2023 d’un projet de loi visant à sécuriser et réguler l’espace numérique. Il a été complété par deux saisines rectificatives reçues respectivement les 19 et 27 avril 2023.
2. Ce projet comporte trente-six articles. Il est organisé en huit titres, respectivement intitulés « Protection des mineurs en ligne », « Protection des citoyens dans l’environnement numérique », « Renforcer la confiance et la concurrence dans l’économie de la donnée », « Assurer le développement de l’économie des objets de jeu numériques monétisables dans un cadre protecteur » ,« Permettre à l’Etat d’analyser plus efficacement l’évolution des marchés numériques », « Renforcer la gouvernance de la régulation du numérique », « Contrôle des opérations de traitement de données à caractère personnel effectués par les juridictions dans l’exercice de leur fonction juridictionnelle » et « Adaptations du droit national ».
3. L’étude d’impact a été enregistrée le 20 avril 2023 et modifiée par des saisines rectificatives les 24 et 27 avril. Elle répond globalement aux exigences de l’article 8 de la loi organique n° 2009-403 du 15 avril 2009 relative à l’application des articles 34-1, 39 et 44 de la Constitution, sous réserve des observations particulières mentionnées ci-dessous pour certaines dispositions du projet.
4. Le Conseil d’Etat ne peut que regretter les délais particulièrement resserrés dans lesquels ce projet de loi lui a été soumis, le dépôt exceptionnellement tardif de l’étude d’impact ainsi que le nombre des modifications apportées par le Gouvernement au texte durant son examen, au regard notamment de l'importance de certaines mesures qu'il contient et alors qu'il ne présente, par lui-même, aucun caractère d'urgence justifiant de telles conditions de saisine. Il résulte, en outre, de ce calendrier que les instances dont la consultation était obligatoire, si elles ont toutes été effectivement consultées, ont été dans l'obligation de se prononcer dans des délais très réduits et que le Conseil d’Etat n’a pu prendre connaissance des avis ainsi rendus que très peu de temps avant de rendre le sien. Le Conseil d’Etat souligne que l’ensemble de ces circonstances n’est pas de nature à permettre de garantir pleinement la sécurité juridique, légitimement attendue par le Gouvernement, de l’examen du projet de loi qui lui est soumis.
5. Le Conseil d’Etat note que le projet de loi s’inscrit dans le projet de constitution d’un marché unique du numérique européen en prévoyant les mesures nécessaires à l’adaptation du droit national et à la mise en œuvre de trois règlements européens : le règlement (UE) n° 2002/1925 du 14 septembre 2022 sur les services et marchés numériques (dit DMA qui entre en application le 2 mai 2023 ) ; le règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques, dit « DSA » qui entre en application le 17 février 2024, et le règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données, dit « DGA » qui entre en application le 24 septembre 2023. Le projet tient compte, en outre, par anticipation, de certaines dispositions du projet de règlement européen fixant des règles harmonisées pour l’équité des accès aux données et de leur utilisation, dit « Data Act », en cours de négociation. Il comprend, enfin, diverses dispositions destinées à protéger les utilisateurs, notamment mineurs, de la diffusion de contenus illicites à divers titres.
6. Au-delà de ces remarques liminaires, et outre diverses améliorations de rédaction et restructurations de plusieurs articles pour améliorer la clarté de ce projet de loi, ce dernier appelle, de la part du Conseil d’Etat, les observations suivantes.
Protection des mineurs en ligne
Sur les recommandations de l'Autorité de régulation de la communication audiovisuelle et numérique pour le respect effectif de la majorité légale pour l’accès aux sites pornographiques
7. Le projet de loi donne à l’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) la compétence d’élaborer des recommandations, relatives aux exigences techniques auxquelles doivent répondre les systèmes de vérification de l’âge mis en place pour l’accès à des sites comportant des contenus pornographiques pour s’assurer que les utilisateurs souhaitant accéder à un contenu pornographique édité par un service de communication au public en ligne sont majeurs.
Le Conseil d’Etat souligne l’importance de la mesure et la complexité des dispositifs à mettre en œuvre. Il reviendra à l’ARCOM de prescrire des exigences techniques propres à garantir, ainsi que le prévoit le projet de loi, tant la fiabilité du contrôle de l’âge des utilisateurs que le respect de leur vie privée.
8. Le Conseil d’Etat constate que le projet de loi attribue à l’ARCOM un pouvoir normatif, toute personne dont l’activité est d’éditer un service de communication au public en ligne permettant l’accès à un contenu pornographique étant tenue de se conformer à ses recommandations, à peine de sanction pécuniaire prononcée par l’ARCOM, après mise en demeure, et dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.
Il considère que l’habilitation règlementaire donnée à l’ARCOM est suffisamment précise et
limitée pour ne pas soulever d’objection au regard de l’article 21 de la Constitution (Conseil
Constitutionnel, décision 88-248 DC du 17 janvier 1989).
Il propose toutefois de ne pas retenir le terme « recommandation », qui n’est pas adapté au caractère obligatoire de ces exigences techniques, et suggère de lui substituer « référentiel général de sécurité », comme dans l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
Il considère enfin que les sanctions pécuniaires prévues en cas de manquement à ces prescriptions techniques – au plus 75 000 euros ou 1 % du chiffre d'affaires mondial hors taxes réalisé, le plus élevé des deux montants étant retenu, ce maximum étant porté à 150 000 euros ou 2 % du chiffre d'affaires mondial hors en cas de réitération du manquement – ne sont pas hors de proportion avec la gravité des manquements réprimés.
Sur les pouvoirs de sanctions et de blocage administratif des sites contrevenant au respect de la majorité légale conférés à l'Autorité de régulation de la communication audiovisuelle et numérique
9. L’article 23 de la loi n° 2020-936 du 30 juillet 2020 permet au président de l’ARCOM, après une mise en demeure restée sans effet adressée à un éditeur de service de communication au public en ligne permettant à des mineurs d'avoir accès à un contenu pornographique en violation de l'article 227-24 du code pénal, de saisir le président du tribunal judiciaire de Paris aux fins d'ordonner à cet éditeur de mettre fin à l'accès au service. Le président de l’ARCOM peut, en outre, demander au même tribunal de faire cesser le référencement du service de communication en ligne par un moteur de recherche ou un annuaire.
Le projet de loi modifie cet article pour renforcer les pouvoirs d’intervention de l’ARCOM. Il prévoit qu’après demande de son président de prendre toute mesure pour empêcher l'accès des mineurs au contenu incriminé restée infructueuse, l’ARCOM peut, en lieu et place du tribunal judiciaire de Paris, décider de contraindre à un blocage d’accès au service de communication au public en ligne concerné. A cette fin, l’ARCOM notifie aux fournisseurs de services d’accès les adresses électroniques des services de communication en ligne ayant fait l’objet de l’envoi de lettres d’observation. Les fournisseurs de services d’accès doivent alors empêcher l’accès à ces adresses dans un délai de quarante-huit heures. Une notification peut également être effectuée auprès des moteurs de recherche ou des annuaires qui disposent d’un délai de cinq jours pour faire cesser le référencement du service de communication en ligne. En cas de manquement à ces obligations l’ARCOM peut, dans les conditions prévues à l’article 42-7 de la loi n° 86-1067 du 30 septembre 1986, prononcer une sanction pécuniaire.
10. Le Conseil d’Etat considère, en premier lieu, que l’attribution à l’ARCOM du pouvoir aujourd’hui reconnu au président du tribunal judiciaire de Paris ne se heurte, dans son principe, à aucune objection d’ordre constitutionnel. Il relève qu’un pouvoir de blocage analogue est reconnu à d’autres autorités administratives, par exemple par les articles 6-1 et suivants de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique à l’égard des sites dont les contenus contreviennent aux articles 421-2-5 (provocation à des actes terroristes ou apologie de tels actes) et 227-23 (diffusion des images ou des représentations à caractère pornographique de mineurs) du code pénal. Ces dispositions, dont l’architecture inspire celle du projet de loi, ont été déclarées conformes à la Constitution par le Conseil constitutionnel (Décision n° 2022-841 du 13 août 2022). Le Conseil d’Etat propose toutefois, en ce qui concerne l’entrée en vigueur de ces dispositions nouvelles, qu’elles ne soient applicables qu’aux procédures au titre desquelles les lettres d’observations du président de l’ARCOM sont adressées à compter de la date du 1er janvier 2024. Les procédures engagées antérieurement à cette date continueraient à relever ainsi de la compétence du président du tribunal judiciaire de Paris, qui est d’ailleurs, à ce jour, saisi de plusieurs demandes de blocage.
11. En deuxième lieu, le Conseil d’Etat estime que si l’objectif d’intérêt général de protection des mineurs contre la pornographie et ses effets, poursuivi par le projet de loi, justifie qu’il puisse être porté atteinte à l’exercice des libertés d’expression et de communication protégées par l’article 11 de la Déclaration des droits de l’homme et du citoyen et par la Cour européenne des droits de l’homme (CEDH), c’est à condition que ces atteintes soient adaptées et proportionnées et que les procédures les mettant en œuvre soient entourées de garanties suffisantes au regard de l’importance de ces atteintes.
Concernant l’évaluation des atteintes portées par les dispositions du projet de loi à la liberté d’expression et de communication, le Conseil d’Etat prend particulièrement en considération les deux points suivants. D’une part, les dispositions du projet de loi conduisent à prévoir le blocage de services de communication au public en ligne pour des faits qui constituent des infractions moins graves que celles réprimées aux articles 227-23 et 421-2-5 du code pénal déterminant le champ de l’article 6-1 mentionné ci-dessus. D’autre part, à la différence également de celles permises par ce même article 6-1, les mesures de blocage prévues par le projet de loi vont s’appliquer à des sites dont les contenus mis en ligne ne sont pas en eux mêmes illicites, sauf à révéler des infractions autres que celles de l'article 227-24 du code pénal.
12. Au regard de ces considérations, le Conseil d’Etat prend en compte les garanties suivantes prévues par le projet de loi :
a) l’obligation d’une procédure contradictoire de quinze jours devant être engagée par le président de l’ARCOM à l’égard de l’éditeur du service et le délai de quinze jours supplémentaires laissé à l’éditeur du service pour se conformer à la mise en demeure du président de l’ARCOM de prendre toute mesure pour empêcher l’accès des mineurs au contenu, qui sont propres à permettre à l’ARCOM d’apprécier le caractère illicite du fonctionnement du service au regard de l’article 227-24 du code pénal, et à son éditeur de mettre fin à l’infraction pour ne pas s’exposer à de telles mesures, sauf à persister délibérément dans sa commission ;
b) la compétence du seul collège de l’ARCOM pour prendre la décision de procéder au blocage ;
c) la limitation à une durée maximale de vingt-quatre mois des mesures de blocage, la suppression du plancher de durée de six mois, que propose le Conseil d’Etat pour améliorer la proportionnalité aux faits relevés des mesures, la réévaluation de leur nécessité, d’office ou sur demande, au minimum tous les douze mois, et leur interruption sans délai lorsque les faits les ayant justifiées ne sont plus établis ;
d) sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, la possibilité pour l’éditeur du service et les personnes chargées de mettre en œuvre les mesures de blocage de demander au juge administratif l'annulation des mesures, le juge devant alors statuer sur leur légalité dans un délai d’un mois à compter de la saisine.
13. Il considère, dans ces conditions, que le projet ne se heurte à aucun obstacle d’ordre constitutionnel ou conventionnel, notamment au regard de la liberté d’expression et de communication.
14. Le Conseil d’Etat estime, enfin, que les sanctions pécuniaires prévues en cas de manquement aux décisions de l’ARCOM – 250 000 euros ou une somme équivalente à 4 % du chiffre d'affaires mondial hors taxes pour le refus de l’éditeur du service de se conformer à la mise en demeure du président de l’ARCOM de prendre toute mesure pour empêcher l’accès des mineurs au contenu incriminé et 75 000 euros ou une somme équivalente à 1 % du chiffre d'affaires mondial pour la non-exécution des mesures de blocage décidées - ne sont pas hors de proportion avec la gravité de tels manquements.
Sur la création d’une sanction pénale pour défaut d’exécution d’une demande de retrait de contenu pédopornographique
15. Le projet de loi instaure une sanction pénale applicable aux fournisseurs de services d’hébergement qui ne satisfont pas à la demande émise par l’autorité compétente de procéder au retrait dans un délai de vingt-quatre heures d’un contenu en ligne d’images ou de représentations de mineurs présentant un caractère pédopornographique relevant de l’article 227-3 du code pénal.
Le Gouvernement étend ainsi les sanctions déjà applicables à ces mêmes opérateurs en cas de manquement à une obligation de retrait de contenus provoquant à des actes terroristes ou en faisant l’apologie et qui prévoient le prononcé d’une peine d’un an d’emprisonnement et d’une amende de 250 000 euros, cette amende pouvant être porté à 4 % du chiffre d’affaires, lorsque l’infraction est commise de manière habituelle par une personne morale.
16. Le Conseil d’Etat constate que la mise en œuvre de la mesure envisagée s’inscrit, de même, dans le cadre procédural applicable au retrait de contenus présentant un caractère terroriste, examiné par le Conseil constitutionnel dans sa décision n° 2022-841 du 13 août 2022, et qui prévoit notamment que le manquement à l’obligation de retrait n’est pas constitué en présence de motifs légitimes, tenant à la force majeure ou l’impossibilité de fait de se conformer à cette obligation.
17. En accord avec le Gouvernement, le Conseil d’Etat propose de compléter le projet de loi afin d’introduire la possibilité pour les fournisseurs de services d’hébergement ou de contenus de saisir le juge administratif afin qu’il soit statué à bref délai et sans conclusions du rapporteur public sur la légalité de la demande de retrait, à l’instar du recours qui leur est déjà ouvert en cas de demande de retrait de contenus présentant un caractère terroriste.
Protection des citoyens dans l’environnement numérique
Sur la protection des citoyens contre les vecteurs de propagande étrangère en ligne manifestement destinés à la désinformation et à l’ingérence
18. Dans le contexte des mesures restrictives prises sur le fondement de l’article 215 du traité sur le fonctionnement de l’Union européenne (TFUE) par les institutions de l’Union européenne à l’encontre de pays tiers, d’individus ou d’entités juridiques à la suite de l’invasion de l’Ukraine par la Fédération de Russie, le projet de loi étend les compétences de l’ARCOM pour la mise en œuvre des mesures restrictives européennes visant les médias, notamment les interdictions de diffusion à de nouveaux opérateurs, d’une part, aux éditeurs et distributeurs de services de communication audiovisuelle, aux opérateurs de réseaux satellitaires et à leurs prestataires techniques sur le fondement des dispositions de l’article 42-10 de la loi n° 86 1067 du 30 septembre 1986 relative à la liberté de communication et, d’autre part, aux services de communication au public en ligne sur le fondement du nouvel article 11 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique .
19. Le Conseil d’Etat considère que la modification ainsi apportée à l’article 42-10 de la loi du 30 septembre 1986 et la création, dans un article 11 nouveau de la loi du 21 juin 2004, d’un mécanisme largement inspiré de celui existant à l’article 6-1 de la même loi pour les contenus qui contreviennent aux articles 227-23 et 421-2-5 du code pénal ne se heurtent à aucun obstacle d’ordre constitutionnel ou conventionnel, notamment au regard de la liberté d’expression et de communication.
20. Il estime que les sanctions pécuniaires prévues en cas de méconnaissance de l’obligation de retirer les contenus ou de faire cesser la diffusion des contenus contrevenant aux dispositions prises sur le fondement de l’article 215 du TFUE ne sont pas hors de proportion avec la gravité des manquements réprimés.
21. Le Conseil d’Etat propose de clarifier les termes des dispositions modifiant la loi du 21 juin 2004 en ce qui concerne les mesures prises par l’ARCOM, pour substituer aux « demandes » et « injonctions » des « mises en demeure » de l’autorité.
Sur la création d’une peine complémentaire de suspension d’un compte d’accès à un service de plateforme en ligne
22. Le projet de loi prévoit la possibilité de prononcer, pour une durée maximale de six mois portée à un an en cas de récidive légale, une peine complémentaire de suspension d’un compte d’accès à un service de plateforme en ligne en cas de condamnation pour des infractions constitutives de cyber-harcèlement, d’atteintes à la dignité des personnes et des mineurs, de provocation ou d’apologie d’actes de terrorisme et pour les délits de presse les plus graves, lorsque ce compte a été utilisé pour commettre ces infractions. Il prévoit, en outre, une amende de 75 000 euros à l’encontre du fournisseur du service de plateforme en ligne concerné qui ne procède pas au blocage du compte d’accès suspendu.
23. Ces dispositions n’appellent pas d’observation particulière au regard des exigences constitutionnelles de légalité et de proportionnalité des délits et des peines.
Toutefois, le Conseil d’Etat suggère de ne pas retenir la disposition qui prévoit que le fournisseur du service de plateforme en ligne qui procède au blocage du compte d’accès suspendu met par ailleurs en œuvre des mesures permettant de procéder au blocage des autres comptes d’accès à son service éventuellement détenu par la personne condamnée et d’empêcher la création par celle-ci de nouveaux comptes. S’il s’accorde avec le Gouvernement sur l’importance que revêt la coopération des fournisseurs de services de plateformes en ligne dans la lutte contre la diffusion des contenus portant sur les infractions susmentionnées, il considère cependant que cette obligation présentée comme une obligation de moyens et qui n’est pas pénalement réprimée ne trouve pas sa place dans le code pénal.
Sur le déploiement d’un filtre national de cybersécurité
24. Afin de protéger les utilisateurs contre diverses infractions susceptibles de leur causer des préjudices, notamment financiers - usurpation d’identité, utilisation de données à caractère personnel à des fins malveillantes, collectes de données à caractère personnel par des moyens frauduleux, déloyaux ou illicites, pénétration illicite dans un système informatique, fourniture en ligne de moyens de contrefaçon de moyens de paiement -, le projet de loi introduit un dispositif nouveau dans la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. Il prévoit que l’autorité administrative notifie, dans un premier temps, l'adresse électronique d'un service de communications au public en ligne dont elle constate qu’il est manifestement conçu pour commettre l’un de ces délits aux fournisseurs de logiciels de navigation aux fins d’afficher, pendant sept jours, un message avertissant l’utilisateur du risque de préjudice encouru en cas d’accès à cette adresse. Dans un deuxième temps, l’autorité administrative enjoint, sous peine de sanctions, aux fournisseurs d'accès à internet, aux fournisseurs de systèmes de résolution de noms de domaine et aux fournisseurs de logiciels de navigation de mettre en place, en outre, un procédé de nature à empêcher l’utilisateur d’accéder à cette adresse. Cette autorité demande au service de communications au public en ligne ses observations. Ces mesures, sont soumises au contrôle d’une personnalité qualifiée.
25. Si la protection des utilisateurs contre les situations visées par le projet de loi répond à un objectif d’intérêt général, elle ne peut justifier des mesures portant atteinte à l’exercice des libertés d’expression et de communication protégées par l’article 11 de la Déclaration des droits de l’homme et du citoyen et par l’article 10 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, qu’à la double condition que ces atteintes soient adaptées et proportionnées et que les procédures les mettant en œuvre soient entourées de garanties suffisantes au regard de l’importance de ces atteintes.
26. Le Conseil d’Etat constate que le dispositif tel qu’il résulte de la saisine rectificative comporte désormais plusieurs garanties qu’il avait suggérées :
a) le constat que le service de communication au public en ligne est manifestement conçu pour réaliser des opérations constituant des infractions mentionnées aux articles 226 4 1, 226-18 et 323-1 du code pénal et à l’article 163-4 du code monétaire et financier est effectué par des agents spécialement habilités ;
b) la mesure la plus restrictive des libertés d’expression et de communication – le blocage - n’est plus ni immédiate ni automatique et ne peut intervenir qu’à l’issue de la période de sept jours pendant laquelle est affiché le message d’avertissement ;
c) le service de communication au public en ligne dispose de cinq jours pour produire ses observations, l’autorité administrative pouvant, à tout instant, demander aux destinataires des notifications de mettre fin aux mesures mentionnées au même alinéa lorsqu’il apparaît que le constat sur lequel elles étaient fondées n’est plus valable ;
d) lorsque la personne dont l'activité est d'éditer le service de communication au public en ligne en cause saisit la personne qualifiée d’un recours administratif, le blocage est suspendu le temps de l’instruction de ce recours par la personnalité qualifiée ;
e) la personnalité qualifiée, désignée au sein de la Commission nationale pour l’informatique et les libertés, peut à tout moment enjoindre à l'autorité administrative de mettre fin aux mesures qu’elle a prises sur le fondement des I et II ;
f) le collège de la Commission nationale informatique et liberté (CNIL) peut être saisi lorsque l’enjeu du blocage le justifie.
27. Afin de mieux assurer le caractère proportionné de ces mesures, le Conseil d’Etat propose, en outre, que la durée des mesures empêchant l’accès au service soit limitée à trois mois, que ces mesures ne puissent être renouvelées que deux fois pour une durée de six mois, au plus, sur avis conforme de la personnalité qualifiée et que cette dernière exerce un contrôle non seulement sur la régularité formelle des mesures mais aussi sur leur justification.
28. Le Conseil d’Etat considère, dans ces conditions, que le dispositif prévu ne se heurte à aucun obstacle d’ordre constitutionnel ou conventionnel, notamment au regard de la liberté d’expression et de communication.
Le Conseil d’Etat suggère enfin au Gouvernement de s’assurer et, le cas échéant, d’envisager les mesures propres à permettre, que dans le cas où une procédure pénale est diligentée, les autorités et juridictions compétentes disposent des instruments propres à faire cesser le fonctionnement de ces services avant tout jugement, si elles l’estiment nécessaire dans l’intérêt de la protection des utilisateurs.
Dispositions en faveur de la confiance et la concurrence dans l’économie de la donnée
Sur les mesures visant à lutter contre les entraves commerciales et techniques au changement de fournisseur d’informatique en nuage
29. Le projet de loi vise à lutter contre certaines pratiques commerciales sur le marché des services d’informatique en nuage rendant les entreprises captives des fournisseurs qui dominent ce marché. Il encadre, en premier lieu, la pratique des offres gratuites aux entreprises utilisatrices des avoirs d’informatique en nuage, notamment leur durée de validité et les conditions de leur renouvellement et interdit la facturation des frais de transfert de données vers les infrastructures de l’entreprise utilisatrice ou vers des fournisseurs tiers. Le projet de loi impose, en deuxième lieu, aux fournisseurs de services d’informatique en nuage d’assurer les conditions de l’interopérabilité de leurs services et de la portabilité des données avec des offres tierces. Il oblige, en troisième lieu, ces mêmes fournisseurs à mettre gratuitement à la disposition des utilisateurs les interfaces de programmation d’application nécessaires à la mise en œuvre de l’interopérabilité.
Enfin, le contrôle du dispositif est confié à l’Autorité de régulation des communications électroniques, des postes de la distribution de la presse (ARCEP) qui détermine les conditions de l’interopérabilité par la détermination de normes techniques standardisées communément reconnues.
En ce qui concerne la constitutionnalité et la conventionalité de ces mesures
30. Le Conseil d’Etat considère, en premier lieu, que l’atteinte portée par les dispositions mentionnées au point précédent à la liberté d’entreprendre et à la liberté contractuelle des fournisseurs concernés n’est pas disproportionnée au regard de l’intérêt général que constitue le rétablissement de conditions de concurrence équitables.
31. Il estime, par ailleurs, que les sanctions pécuniaires prévues pour les infractions à ces mêmes dispositions au nouvel article L. 442-12 du code de commerce, de 200 000 euros pour une personne physique et d’un million d’euros pour une personne morale ou, en cas de récidive, respectivement de 400 000 et de deux millions d’euros, lesquelles sont prévues pour chaque contrat conclu en méconnaissance des prescriptions mentionnées ci-dessus, ne sont pas disproportionnées au regard de la gravité des manquements réprimés.
Le Conseil d’Etat considère, par suite, que ces dispositions ne se heurtent à aucun obstacle d’ordre constitutionnel.
32. Le Conseil d’Etat observe, en second lieu, que les services d’informatique en nuage sont des services de la société de l’information au sens de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique. L’article 3, paragraphe 2 de cette directive dispose que : « Les État membres ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre.(…) » Aux termes du i de l’article 2 de la même directive: « i) Le domaine coordonné a trait à des exigences que le prestataire doit satisfaire et qui concernent : / l'accès à l'activité d'un service de la société de l'information, telles que les exigences en matière de qualification, d'autorisation ou de notification, (…)/ l'exercice de l'activité d'un service de la société de l'information, telles que les exigences portant sur le comportement du prestataire, la qualité ou le contenu du service, y compris en matière de publicité et de contrat, ou sur la responsabilité du prestataire.(…) »
33. Le Conseil d’Etat estime que les dispositions encadrant les conditions d’octroi des avoirs informatiques et celles prohibant les frais exigés au titre du transfert de données ne relèvent pas du champ du « domaine coordonné » de la directive et notamment pas de la qualité ou du contenu du service. Si les exigences en termes d’interopérabilité des services et de portabilité des données, qui sont relatives à l’activité de services de la société de l'information, sont, en revanche, susceptibles d’entrer dans ce champ, le Conseil d’Etat observe que ces mesures ont avant tout pour objet de favoriser la libre circulation des services en garantissant la capacité de reproduire ou de redéployer des services à fonctionnalités égales d’un fournisseur d’informatique en nuage à un autre et, par suite, de maintenir la liberté de choix des utilisateurs.
34. Il note que le paragraphe 4 du même article 3 de la directive du 8 juin 2000 prévoit que les Etats membres peuvent déroger au principe de la libre circulation des services de la société de l’information pour des motifs tirés notamment « de la protection des consommateurs, y compris des investisseurs » et de « l’ordre public ». La préservation de l’ordre public économique constitue en droit interne un objectif d’intérêt général susceptible de justifier les atteintes à la liberté d’entreprendre et à la liberté contractuelle de dispositions prohibant certaines pratiques restrictives de concurrence (Décision du Conseil constitutionnel n° 2010 85 QPC, 13 janvier 2011) ou tendant à assurer un fonctionnement concurrentiel du marché dans un secteur déterminé (Décision n° 2012-280 QPC, 12 octobre 2012). Le Conseil d’Etat considère que la restauration de conditions de concurrence équitables sur le marché de l’informatique en nuage est de nature à favoriser le développement de la multiplicité des services offerts aux utilisateurs par l’informatique en nuage.
35. Enfin, le Conseil d’Etat prend acte de ce que, sur le double fondement de la directive 2000/31/CE du 8 juin 2000 précitée et de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information, le Gouvernement notifiera ces mesures à la Commission européenne avant leur adoption.
36. Le Conseil d’Etat estime, par suite, que les dispositions mentionnées au point 29 ne se heurtent pas davantage à un obstacle d’ordre conventionnel. Il recommande que l’étude d’impact soit significativement complétée sur l’analyse de la portée de la directive du 8 juin 2000.
En ce qui concerne la portée de ces mesures
37. Le Conseil d’Etat prend acte de ce que plusieurs de ces mesures et obligations mises à la charge des fournisseurs d’informatique en nuage, en anticipant celles prévues dans le projet de règlement « Data act » doivent permettre, selon le Gouvernement, aux entreprises françaises de se préparer à la mise en œuvre de ces mesures et, par suite, de leur conférer un avantage de compétitivité. Il appartient, dès lors, au Gouvernement de s’assurer que cette stratégie ne sera pas susceptible, au contraire, d’affecter leur compétitivité face à leurs homologues européens du fait des coûts de mise en conformité supportés dès l’entrée en vigueur de la loi. Il relève, en particulier, que le projet de loi impose aux fournisseurs ayant une activité en France de supprimer sans délai les frais de transfert de données, alors que le projet de règlement « Data Act », dans sa rédaction actuelle, leur donne un délai de trois ans pour se conformer à cette obligation. Le Conseil d’Etat préconise, à tout le moins, d’apporter dans l’étude d’impact les éléments de nature à justifier l’avantage de compétitivité pour les entreprises de cette entrée en vigueur anticipée.
38. Le Conseil d’Etat suggère ensuite de préciser, conformément au projet de règlement « Data Act », que l’interdiction de facturation de frais lors de transfert de données porte sur le coût réel supporté par le fournisseur au titre de l’extraction des données, à l’exclusion des frais de migration liés au changement de fournisseur.
Il relève, par ailleurs, que cette interdiction ne s’applique qu’aux contrats conclus postérieurement à l’entrée en vigueur du présent projet de loi, conformément au principe de sécurité juridique attaché aux situations légalement acquises et propose que l’étude d’impact soit clarifiée sur ce point.
Sur la régulation des services d’intermédiation de données
39. Le projet de loi désigne l’ARCEP en tant qu’autorité compétente en matière de services d’intermédiation de données au sens du chapitre III du règlement « DGA ». Il lui attribue, à ce titre, de nouvelles compétences de contrôle et de sanctions pour veiller au respect de leurs obligations par les prestataires de services d’intermédiation de données, afin de contribuer à accroître la confiance dans le partage des données sur la base de mécanismes sécurisés. Ces dispositions n’appellent pas d’observation particulière, sous réserve de la suppression, proposée par le Conseil d’Etat, des dispositions dupliquant dans le droit national des prérogatives que l’Autorité tire directement du règlement européen.
Developpement de l’économie des objets de jeux numériques monétisables dans un cadre protecteur
40. Le Titre II du Livre III du code de la sécurité intérieure prévoit un régime de prohibition des jeux d’argent et de hasard assorti d’exceptions strictement encadrées, aux fins de prévenir les risques d'atteinte à l'ordre public et à l'ordre social, notamment en matière de protection de la santé et des mineurs.
41. Face à l’essor d’un nouveau type de jeu en ligne intégrant les technologies dites « Web 3.0 » telles que la chaîne de blocs (« blockchain ») et les jetons non-fongibles (« Non Fungible Token » ou NFT), le projet de loi définit une nouvelle catégorie de « jeux à objets numériques monétisables », dont il autorise l’exploitation tout en prévoyant que ces jeux ne sont pas considérés comme des jeux d’argent et de hasard pour l’application des différents textes portant réglementation de la police des jeux. Il habilite, en conséquence, le Gouvernement à prendre par ordonnance toute mesure relevant du domaine de la loi permettant de définir un régime d’encadrement et de contrôle ad hoc des entreprises commercialisant ce type de jeux et des places de marchés secondaires où sont susceptibles d’être achetés et vendus les objets numériques monétisables qu’ils créent.
42. Le Conseil d’Etat, prenant en considération l’avis de l’autorité nationale des jeux sur ces dispositions, partage l’analyse du Gouvernement sur la nécessité d’adapter le cadre général de la régulation des jeux aux particularités de ces nouveaux jeux. Il prend acte de l’intérêt que présente pour l’économie française la conception d’un cadre de régulation favorisant les innovations portées par des acteurs nationaux compétitifs sur le marché mondial. Il relève, toutefois, que la régulation existante inscrit ces dispositions dans le code de la sécurité intérieure, marquant le risque élevé pour l’ordre public de tous les jeux à enjeu financier, particulièrement vulnérables aux menaces de blanchiment. Il souligne également l’ampleur des risques pour la santé publique résultant des risques d’addiction et souligne que, s’agissant des jeux en cause, leur proximité avec l’ensemble de la sphère des jeux vidéos induit une particulière dangerosité pour les mineurs. Au regard de ces objectifs, la définition de la catégorie de « jeux à objets numériques monétisables », retenue par le projet de loi, lui paraît trop imprécise pour que puisse être dessiné avec la clarté voulue son champ d’application et que soient totalement écartés les risques de contournement, d’une part, des lois et règlements sur les jeux d’argent et de hasard par les acteurs traditionnels et, d’autre part, du nouveau cadre proposé par les acteurs qu’il entend régir. Les conséquences du nouveau régime au-delà du champ qu’il s’assigne, notamment pour l’ensemble des jeux vidéo, sont également insuffisamment analysées. En particulier, la notion d’« objet numérique monétisable » doit être soigneusement articulée avec celle d’ « actif numérique », au sens de l’article L. 54-10-1 du code monétaire et financier. Le Conseil d’Etat estime aussi que la liste actuelle des jeux assimilables à des jeux d’argent et de hasard exclus de la catégorie des jeux à objets numériques monétisables ne permet ni de s’assurer de l’étanchéité entre les deux notions, ni d’appréhender clairement le traitement des jeux d’adresse dans le nouveau régime. Le régime dérogatoire ou spécifique qu’esquisse le projet en renvoyant pour l’essentiel à une ordonnance est affecté par ces incertitudes et pourrait être regardé comme méconnaissant le principe d’égalité, faute que les différences de situation alléguées soient clairement établies, sans, par ailleurs, qu’un intérêt général suffisant puisse fonder le régime envisagé.
43. Le Conseil d’Etat estime donc que les dispositions relatives à la définition de la catégorie des « jeux à objets numériques monétisables » ne peuvent être retenues. Leur élaboration doit reposer sur une concertation approfondie avec l’ensemble des acteurs susceptibles d’être concernés, qui n’ont pas encore pu être associés à cette réflexion. Le Conseil d’Etat estime que le Gouvernement pourrait utilement recourir à des expérimentations, au regard de la sensibilité des intérêts généraux en cause. C’est pourquoi il propose de maintenir et d’élargir le champ de l’habilitation du Gouvernement à légiférer par ordonnance afin de lui permettre d’élaborer un cadre robuste et cohérent de régulation de ces acteurs, le cas échéant à travers une expérimentation.
Simplification de la transmission aux communes des données recueillies par les plateformes en ligne sur les meublés de tourisme
44. Les communes qui ont mis en œuvre la procédure d’enregistrement mentionnée au III de l’article L. 324-1-1 du code de tourisme ont la possibilité, jusqu’au 31 décembre de l’année suivant celle au cours de laquelle un meublé de tourisme a été mis en location, de demander la transmission des données de nature à leur permettre de contrôler le respect par les plateformes numériques de leurs obligations. Le projet de loi prévoit qu’elles adresseront désormais leur demande à une « autorité désignée par décret », à laquelle les plateformes numériques seront tenues de transmettre ces données de manière électronique.
45. Le Conseil d’Etat observe que le pouvoir réglementaire ne peut confier la gestion de ce nouveau guichet unique numérique à une autorité publique indépendante ou à une autorité administrative indépendante, dès lors que la fixation des attributions de ces autorités relève, conformément à l’article 1er de la loi organique n° 2017-54 du 20 janvier 2017 relative aux autorités administratives indépendantes et autorités publiques indépendantes, exclusivement du domaine de la loi. Il propose, pour ce motif, de substituer dans le projet de loi au terme d’« autorité » celui d’« organisme ».
Contrôle des opérations de traitement de données à caractère personnel effectués par les juridictions dans l’exercice de leur fonction juridictionnelle
46. Le projet de loi prévoit d’instituer, auprès du Conseil d’Etat, d’une part, de la Cour de cassation, d’autre part, une autorité de contrôle des opérations de traitement de données à caractère personnel effectuées, dans l’exercice de leur fonction juridictionnelle, respectivement par les juridictions administratives et par les juridictions judiciaires. En effet, si le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et la directive (UE) 2016/680 du Parlement européen et du Conseil s’appliquent aux traitements de données effectués par les juridictions, ils prévoient que l’exercice de l’activité de l’autorité de contrôle, en France la CNIL, ne doit pas s’étendre aux activités juridictionnelles. A cette fin, comme l’a confirmé un arrêt de la CJUE (Décision C-245/20 du 24 mars 2022), une autorité de contrôle spécifique doit être créée au sein des juridictions afin de préserver leur indépendance dans l’exercice de leur fonction juridictionnelle.
47. Le projet de loi crée une telle autorité auprès de la Cour de cassation, pour la totalité des juridictions judiciaires, ce qui, conformément à la directive (UE) 2016/680 (article 52 et considérant 80), comprend le Parquet près chacune d’elles, précision que le Conseil d’Etat estime utile d’apporter dans le projet de loi. Auprès du Conseil d’Etat, cette autorité n’aura compétence, aux termes d’une saisine rectificative, que pour les juridictions administratives autres que la Cour des comptes et les autres juridictions régies par le code des juridictions financières, ces dernières étant soumises à une autorité de contrôle dédiée, instituée auprès de la Cour des comptes. De même, le Conseil d’Etat approuve le choix du Gouvernement, résultant d’une saisine rectificative présentée devant l’assemblée générale du Conseil d’Etat, de placer la formation disciplinaire du Conseil supérieur de la magistrature sous le contrôle de l’autorité instituée auprès de la Cour de cassation.
Le Conseil d’Etat relève la nécessité d’établir, auprès du Conseil constitutionnel une autorité chargée du contrôle des traitements de données mis en œuvre par cette institution pour l’exercice de son activité juridictionnelle, tout en notant que cette mesure ne relève pas de la loi ordinaire. Il propose enfin, en plein accord avec le Gouvernement, que l’autorité de contrôle placée auprès du Conseil d’Etat soit aussi compétente pour les traitements du Tribunal des conflits, qui, dans la pratique, sont effectués par les services du Conseil d’Etat.
48. Le Conseil d’Etat estime que le principe d’indépendance de l’autorité de contrôle à l’égard des responsables de traitements de données, qui inspire les textes européens précités et la loi du 6 janvier 1978, implique que l’autorité de contrôle pour la juridiction administrative soit constituée d’un membre du Conseil d’Etat élu par l’assemblée générale et propose de retenir cette modification.
49. Il propose également d’ajouter au projet de loi, pour chacune des autorités créées, qu’elles pourront librement disposer des ressources humaines, matérielles et techniques fournies par la juridiction auprès de laquelle elles sont instituées. L’expression de cette exigence, condition de l’effectivité de l’exercice indépendant de ses fonctions par l’autorité de contrôle, à laquelle les textes européens précédemment mentionnés accordent une importance toute particulière, a, en effet, sa place dans la loi. D’une part, les textes législatifs instituant des autorités comparables comportent toujours de telles dispositions, d’autre part, l’effectivité du contrôle suppose que le personnel mis à disposition puisse agir sans répondre à l’autorité hiérarchique dont il dépend habituellement et en conservant le secret sur les opérations auxquelles il procède, modalités dont il appartient au législateur de poser le principe.
50. Le Conseil d’Etat note enfin que si les modalités de recours contre les décisions des autorités de contrôle placées auprès du Conseil d’Etat et auprès de la Cour des comptes relèvent de dispositions réglementaires qui désigneront la juridiction compétente, il n’en va pas de même pour l’autorité placée auprès de la Cour de cassation, dès lors que le projet de loi précise utilement que ces recours ne sauraient être portés devant la juridiction administrative, mais devant la juridiction judiciaire, en l’espèce devant la Cour de cassation elle-même, cette dérogation au principe de contrôle des actes administratifs par le juge administratif paraissant ici pleinement justifiée par les objectifs poursuivis par le projet de loi.
Adaptations du droit national aux règlements « DSA » et « DGA »
Sur la désignation de l’ARCOM comme coordinateur des services numériques pour la France
51. Conformément à l’article 49, paragraphe 1 du règlement « DSA », le projet de loi désigne trois « autorités compétentes » pour appliquer les dispositions de ce règlement et fait de l’ARCOM le coordinateur des services numériques pour la France. Ces dispositions répondent aux exigences du règlement européen en organisant les relations entre les autorités nationales responsables et leur participation aux travaux du comité européen pour les services numériques. Elles précisent également les conditions dans lesquelles l’ARCOM exerce ses nouvelles missions d’autorité compétente et de coordinateur des services numériques et le régime des sanctions applicables conformément à l’article 52 du règlement européen.
52. Le Conseil d’Etat estime que ces dispositions ne se heurtent à aucun obstacle mais propose de ne pas retenir celles qui excèdent ce qu’exige strictement la mise en œuvre du règlement « DSA ».
Sur les adaptations du code de la consommation liées à la mise en œuvre du règlement DSA
53. De nouvelles dispositions habilitent, en particulier, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGGCRF) à contrôler les fournisseurs de places de marché en ligne au regard de leurs obligations prévues par le règlement « DSA ».
Un régime de sanction est prévu en cas de manquement à ces obligations. Le projet de loi confie au juge, seul, le soin de prononcer des injonctions de mise en conformité, le cas échéant assorties d’astreintes, à l’égard de ces fournisseurs. Le projet de loi fait ainsi usage de la faculté ouverte aux Etats membres par l’article 51-2 du règlement « DSA » de demander à une autorité judiciaire d’ordonner la cessation des infractions. Le Gouvernement entend ainsi sécuriser les conditions de mise en œuvre de ce pouvoir de police administrative au regard des exigences d’indépendance des autorités de contrôle nationales prévues par ce règlement.
54. Ce choix, qui répond à une exigence constitutionnelle de mise en œuvre des règlements européens (décision du Conseil constitutionnel n° 2018-765 DC du12 juin 2018), n’appelle pas d’observation. Le Conseil d’Etat relève qu’il est sans incidence sur le pouvoir d’injonction exercé par la DGCCRF à l’égard des opérateurs de plateforme en ligne sur un fondement distinct de celui du règlement « DSA » tiré de l’article L. 521-3-1 du code de la consommation. Le Conseil d’Etat suggère de préciser que ce pouvoir d’injonction est attribué à la juridiction civile, en s’inspirant de la disposition comparable figurant à l’article L. 524-2 du même code.
55. Les autres dispositions d’adaptation de ce code, notamment celles qui révisent le régime actuellement applicable aux plateformes en ligne, n’appellent pas d’observation, sous réserve de la suppression, proposée par le Conseil d’Etat, de celles qui excèdent ce qu’exige strictement la mise en œuvre du règlement « DSA ».
Sur les adaptations du code de commerce liées à la mise en œuvre du règlement DMA
56. Le projet de loi modifie le code de commerce afin de mettre certaines de ses dispositions en cohérence avec le règlement « DMA ». En particulier, sont introduites les dispositions nécessaires afin de garantir l’habilitation de l’Autorité de la concurrence et de la DGCCRF, pour ouvrir des enquêtes sur des cas de non-respect des obligations imposées aux contrôleurs d’accès par le règlement « DMA ».
57. Ces dispositions n’appellent pas d’observation particulière de la part du Conseil d’Etat, hormis là encore, ce qui concerne la nécessité de ne pas retenir les dispositions qui dupliquent inutilement les prérogatives que l’Autorité et la DGCCRF tiennent directement du règlement « DMA ».
Sur la substitution dans plusieurs textes de droit national de la notion d’opérateur de plateforme en ligne au sens de l’article L. 111-7 du code de la consommation par la catégorie de fournisseur de plateforme en ligne au sens du règlement « DSA »
58. Plusieurs dispositions du projet de loi procèdent, afin d’adapter le droit national à l’intervention du règlement « DSA », à la substitution dans plusieurs textes de la référence à la catégorie d’opérateur de plateforme en ligne figurant à l’article L. 111-7 du code de la consommation, abrogée par le projet de loi, par celle de fournisseur de plateformes en ligne figurant au paragraphe i de l'article 3 du règlement.
59. Or, le Conseil d’Etat relève que la définition de fournisseur de plateforme en ligne prévue par le règlement « DSA » s’appuie sur le stockage d’informations fournies par des tiers, critère absent de la définition du code de la consommation, qui vise plus largement les services reposant sur le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers – ce qui inclut les moteurs de recherche – ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service – ce qui inclut des services d’intermédiation en ligne. La notion de fournisseur de plateforme en ligne au sens du règlement « DSA » ne recoupe pas non plus les services de diffusion directe sur internet (« live-streaming ») lorsque ces derniers ne stockent pas les contenus qu’ils diffusent.
60. Le Conseil d’Etat constate, en conséquence, que la substitution de la notion d’opérateur de plateforme en ligne par celle de fournisseur de plateforme en ligne par le projet de loi a pour effet de sortir du champ des dispositifs concernés les moteurs de recherche en ligne au sens du paragraphe j de l’article 3 du règlement « DSA », les plateformes de partage de vidéos au sens de l’article 2 de la loi du 30 septembre 1986 et les services d’intermédiation en ligne définis au 2° de l'article 2 du règlement (UE) 2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne. Dans chacun des textes de droit national adaptés par le projet de loi, le Conseil d’Etat suggère donc, lorsque cela est nécessaire, de réintégrer les acteurs pertinents pour l’application des dispositifs concernés. Ces adaptations n’appellent pas d’autres remarques.
Sur les adaptations du droit national en matière de lutte contre la désinformation, les contenus haineux et la manipulation de l’information en période électorale
61. Les articles 11, 13 et 14 de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information soumettent les opérateurs de plateforme en ligne dont l'activité dépasse cinq millions de connexions sur le territoire français à plusieurs obligations au titre de la lutte contre la diffusion de fausses informations. L’article 58 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication prévoit que l’ARCOM peut adresser des recommandations en la matière à ces opérateurs, assure le suivi de leurs obligations au titre de la lutte contre la désinformation et publie un bilan périodique de l'application de ces mesures et de leur effectivité sur la base d’information recueillies auprès des opérateurs en faisant usage de ses pouvoirs d’enquête prévus à l’article 19 de la loi.
62. Le règlement « DSA » soumet les très grandes plateformes et les très grands moteurs de recherche à des obligations d’atténuation des risques systémiques intégrant la désinformation et permet à ces acteurs d’adhérer au code de conduite européen sur la désinformation contenant des engagements précis en la matière. Le respect de ces obligations et de ces engagements est contrôlé par la Commission européenne. Le projet de loi tire les conséquences de ce régime européen de lutte contre la désinformation et de la compétence exclusive de la Commission sur ce point en abrogeant les articles 11, 13 et 14 de la loi du 22 septembre 2018 et la mission de suivi de l'Autorité de régulation de la communication audiovisuelle et numérique, tout en maintenant l’exigence de la publication périodique par l’Autorité d’un bilan sur l’effectivité des mesures prises au titre de la désinformation, ainsi que les pouvoirs d’enquête dont elle dispose à cette fin.
63. En premier lieu, le Conseil d’Etat prend acte de ce que l’abrogation du cadre national de lutte contre la désinformation, rendue nécessaire par l’entrée en vigueur du régime issu du règlement « DSA » centré sur les plus grands acteurs, aura pour effet de supprimer toute obligation au titre de la lutte contre la désinformation pour un petit nombre d’opérateurs à l’activité importante sur le territoire national mais n’entrant pas dans le champ des très grandes plateformes et des très grands moteurs de recherche au sens du règlement.
64. En second lieu, le Conseil d’Etat estime que le maintien de pouvoirs d’enquête de l’ARCOM afin d’élaborer le bilan des mesures prises au titre de la lutte contre la désinformation est désormais en contrariété avec le règlement « DSA », qui prévoit la compétence exclusive de la Commission européenne en matière d’enquête et de sanction sur les acteurs désormais concernés par ces obligations. Il propose donc de supprimer les dispositions correspondantes Il suggère, afin de conserver néanmoins un canal de dialogue entre le régulateur national et les plus grands acteurs du numérique en matière de désinformation, de prévoir que le bilan de l’ARCOM est élaboré sur la base de différentes sources d’information communiquées par la Commission européenne et des informations recueillies directement auprès de ces acteurs.
65. Afin de tirer les conséquences de l’entrée en vigueur du règlement « DSA », le projet de loi abroge l’article 62 de la loi du 30 septembre 1986 relative à la liberté de communication énonçant les pouvoirs de l’ARCOM en matière de contrôle des obligations des plateformes en ligne en matière de lutte contre les contenus haineux illicites, fixées à l’article 6-4 de l'article 6-4 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique. Cette abrogation prend effet au 17 février 2024. Le Conseil d’Etat relève toutefois que le législateur, afin d’anticiper l’entrée en vigueur du règlement « DSA », a déjà prévu, au III de l’article 42 de la loi du 24 août 2021 confortant le respect des principes de la République, une sortie de vigueur de ces dispositions au 31 décembre 2023, c’est-à-dire plusieurs semaines avant la date d’applicabilité du régime issu du règlement « DSA ». Afin d’éviter le vide juridique créé par cette extinction anticipée, le Conseil d’Etat suggère, au lieu d’une abrogation de ces dispositions par le projet de loi, de modifier l’article 42 de la loi du 24 août 2021 afin de prévoir que les articles 6-4 de la loi du 21 juin 2004 et 62 de la loi du 30 septembre 1986 sont applicables jusqu’au 17 février 2024.
66. Le projet de loi prévoit l’abrogation de l’article L. 163-1 du code électoral, introduit dans ce code par la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l’information. Cet article instaure, pendant les trois mois précédant le premier jour du mois d'élections générales et jusqu'à la date du tour de scrutin où celles-ci sont acquises, des obligations de transparence applicables aux plus grands opérateurs de plateforme en ligne en matière de contenus d’information se rattachant à un débat d’intérêt général. Ces informations figurent dans un registre mis à la disposition du public par voie électronique, dans un format ouvert, et régulièrement mis à jour au cours de la période précédant le scrutin. Ces obligations de transparence sont étendues aux élections sénatoriales (par le renvoi figurant à l’article L. 306 du code électoral) et européennes (par le renvoi figurant à l’article 14-2 de la loi n° 77 729 du 7 juillet 1977 relative à l'élection des représentants au Parlement européen), aux opérations référendaires (par le renvoi figurant à l’article L. 558-46 du code électoral) et à l'élection du Président de la République (en application de l’article 3, ayant valeur organique, de la loi n° 62-1292 du 6 novembre 1962).
67. Le Conseil d’Etat relève que si l’article 39 du règlement « DSA » soumet les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne à des obligations de transparence en matière de publicité en ligne, avec notamment la tenue d’un registre mettant à disposition du public une liste non limitative d’informations, aucune obligation spécifique en la matière n’est mise à la charge de ces acteurs en période électorale sur les questions se rattachant à un débat d’intérêt général. Si de telles obligations devraient figurer dans le futur projet de règlement relatif à la transparence et au ciblage de la publicité à caractère politique, le Conseil d’Etat estime préférable, au regard de l'intérêt général attaché à l'information éclairée des citoyens en période électorale et à la sincérité du scrutin, de ne pas procéder à l’abrogation de l’article L. 163-1. Il propose sa modification afin qu’il prévoit, jusqu’à l’entrée en vigueur du futur cadre européen de la publicité politique, que la liste non limitative des informations figurant au sein du registre prévu par l’article 39 du règlement « DSA » est complétée, ainsi que le permet ce règlement lorsqu’un intérêt général est, comme ici, présent, durant les périodes électorales, par les informations supplémentaires qu’il énumère.
Sur les nouveaux pouvoirs de contrôle et de sanction de la CNIL en matière de publicité en ligne et d’altruisme en matière de données
68. Le projet de loi inscrit dans un nouveau Titre intitulé « Dispositions prises pour l’application du règlement (UE) 2022/2065 du 19 octobre 2022 et du règlement (UE) 2022/868 du 30 mai 2022 » de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés les nouveaux pouvoirs de contrôle et de sanction de la Commission nationale de l'informatique et des libertés nécessaires à l’application, d’une part, de certaines obligations figurant dans le règlement « DSA » en matière de publicité en ligne et, d’autre part, du nouveau régime relatif à l’altruisme en matière de données issu du règlement (UE) 2022/868 du 30 mai 2022.
69. Sur la forme, le Conseil d’Etat suggère, dans un souci de lisibilité et de clarté de la loi d’inscrire ces deux catégories de dispositions, dont les bases légales et les objectifs sont très différents, dans deux articles distincts du projet de loi et de prévoir qu’elles figureront dans deux titres distincts de la loi du 6 janvier 1978 : un nouveau Titre V intitulé « Dispositions applicables aux fournisseurs de plateformes en ligne relevant du règlement (UE) 2022/2065 du 19 octobre 2022 » et un nouveau Titre VI intitulé « Dispositions relatives à l’altruisme en matière de données ». Le Conseil d’Etat estime en outre, ainsi que le relève la Commission nationale de l'informatique et des libertés dans son avis sur le projet de loi, qu’il convient, dans un souci de clarté des procédures applicables devant la Commission, d’intégrer autant que possible les nouvelles règles issues du règlement « DSA » aux dispositions procédurales générales en matière d’enquête, de mesures correctrices et de sanction figurant dans la section 2 du chapitre II du titre Ier de la loi du 6 janvier 1978.
70. Sur le fond, le Conseil d’Etat souligne que la procédure entourant la faculté des fournisseurs de plateformes en ligne de souscrire des engagements volontaires afin de se conformer à leurs obligations au titre du règlement « DSA » n’est décrite ni par le règlement, ni par le projet de loi. Il suggère donc de préciser que la proposition d’engagements est suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de leur mise en œuvre, ainsi que leur durée, pour permettre à la Commission nationale de l'informatique et des libertés de procéder à son évaluation et qu’au terme de celle-ci, le président de la Commission peut décider de rendre contraignant tout ou partie de ces engagements, pour une période donnée qui ne peut dépasser la durée proposée par le fournisseur de plateformes en ligne. Un décret en Conseil d’Etat pourrait préciser les modalités de cette procédure nouvelle.
Dispositions n’appelant pas d’observations du Conseil d’Etat
71. Le projet de loi comporte d’autres dispositions qui ont pour objet :
- a) de renforcer les capacités de collecte des données du service à compétence nationale nommé « Pôle d’expertise de la régulation du numérique » ;
- b) de renforcer les moyens du coordinateur des services numériques chargé de coordonner les autorités ayant en charge la mise en œuvre du règlement « DSA » et d’organiser sa collaboration avec le Pôle d’expertise de la régulation du numérique ;
- c) d’habiliter le Gouvernement, par une habilitation qui répond aux exigences de l’article 38 de la Constitution, à prendre par voie d'ordonnance les mesures relevant du domaine de la loi nécessaires à l'adaptation et l’extension des dispositions du projet de loi dans les collectivités d’outre-mer et rendant les dispositions des règlements européens applicables dans les collectivités non comprises dans le champ d’application de ces règlements ;
- d) d’organiser l’entrée en vigueur des différentes dispositions du texte
Ces dispositions n’appellent pas d’observations particulières de la part du Conseil d’Etat, sous réserve d’améliorations de rédaction qu’il suggère au Gouvernement de reprendre.
Cet avis a été délibéré et adopté par le Conseil d’Etat dans sa séance du jeudi 27 avril 2023.