Elle vise à réguler le « Far West » que serait le numérique, mais a souffert elle-même d’un parcours chaotique. Et de vouloir embrasser beaucoup de sujets différents. La loi pour sécuriser et réguler l’espace numérique (SREN) a été adoptée définitivement mercredi 10 avril par le Parlement. Elle adapte le droit français à la fois au Digital Services Act (DSA), au Digital Markets Act (DMA) et au Data Act européen. Votée initialement par le Sénat en juillet 2023, puis en octobre à l’Assemblée nationale, la loi a bénéficié d’une procédure accélérée qui n’a pas empêché de vives tensions d’agiter et de ralentir les discussions. Avec à la clé une réécriture en commission mixte paritaire qui s’est achevée il y a deux semaines. 

La Commission européenne avait en particulier alerté à plusieurs reprises de ce qu’elle estimait être un « risque de surtransposition » du droit européen, mettant la France en décalage avec ce dernier et le marché unique. Le texte voté contient donc certaines incongruités. Il entend par exemple restreindre l’obligation de vérification de l’âge des internautes (pour lutter contre l’exposition aux contenus pornographiques) aux seules plateformes établies « en France ou hors de l’Union européenne », laissant un trou pour celles installées ailleurs en Europe, mais n’empiétant ainsi pas sur les dispositions de l’UE. 

Les tensions ont été particulièrement marquées sur la partie « grand public » du texte : les oppositions et des associations de protection des libertés comme la Quadrature du Net ont critiqué au vitriol les dispositions en matière d’anonymat en ligne ou de liberté d’expression. La partie « BtoB » de la loi, se retrouve dès lors moins médiatisée et dans la position inconfortable d’être associée à l’image trouble de SREN. 

C’est précisément le Titre III (articles 7 à 13), qui intéressera les professionnels de l’écosystème. En matière de marché cloud et de protection des données de santé, le texte issu de la commission mixte paritaire a en effet retenu les versions plus ambitieuses des dispositions issues du Sénat. Les parlementaires ont inscrit dans la loi des obligations pour faire face aux risques amenés par les législations extraterritoriales et améliorer la protection des données. Celles-ci concernent les entités publiques, des administrations étatiques jusqu’aux groupements d’intérêt public. Le Health Data Hub, dont le choix de Microsoft Azure en tant qu’infrastructure cloud avait été abondamment commenté il y a quelques mois, est ainsi clairement en ligne de mire. 

Dans le cadre des nouveaux pouvoirs confiés aux autorités chargées de faire appliquer le DSA, le DMA et le Data Act, la loi confie par ailleurs à l’Arcep (l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) la possibilité d’arbitrer et de résoudre les litiges liés aux nouvelles dispositions sur les clouds. Celles-ci concernent par exemple les frais de transfert des données depuis et entre les clouds. La durée des avoirs commerciaux (les « crédits cloud ») a également été plafonnée à un an, y compris dans le cas d’un renouvellement. De plus, l’obligation d’interopérabilité est mise en avant pour faciliter les approches multi-cloud et éviter une forme de « vendor-lockin ». De manière générale, le Sénat assume depuis le départ, et cela se retrouve dans le texte final, la volonté de permettre « une plus juste concurrence sur le marché du cloud ». Une ambition compliquée à l’échelle française, et qui se retrouve du même coup prise dans de toutes autres considérations politiques. 

La loi SREN devrait en effet maintenant passer devant le Conseil constitutionnel, dans le cadre d’un recours de la France Insoumise. Ce ne sont évidemment pas les dispositions sur le marché du cloud et de la data qui lui valent cette contestation. Si le Titre III n’est certainement pas comparable à un cavalier législatif comme ont pu en voir d’autres projets de loi très large, cet état de fait peut cependant nous faire regretter l’absence d’un « grand texte sur la souveraineté numérique » à part entière. À défaut, la multiplicité et la variété des considérations de SREN ne manquent pas de nous rappeler à quel point le marché du numérique a pénétré aujourd’hui tous les aspects de notre société pour le meilleur comme pour le pire…