Indice d'impact
et de vigilance
Loi SREN — Sécuriser et réguler l'espace numérique
Loi n° 2024-449 du 21 mai 2024 · Filtrage DNS · Vérification d'âge · Pouvoirs ARCOM · Articulation DSA
La loi SREN encadre les services en ligne en France et adapte le droit national au DSA européen. Ses trois mesures les plus structurantes : un filtrage DNS administratif étendu à de nouvelles catégories de contenus illicites, une obligation de vérification d'âge pour les sites pornographiques sans transmission de l'identité de l'utilisateur, et de nouveaux pouvoirs de régulation pour l'ARCOM.
La SREN ne crée pas de surveillance généralisée d'internet. Le filtrage DNS cible des catégories définies par la loi, pas des opinions ou contenus controversés. Le Conseil constitutionnel a par ailleurs censuré certaines dispositions avant promulgation (décision 2024-863 DC). Le principal point de vigilance tient au rôle de l'ARCOM : elle cumule désormais fonction de régulateur et pouvoir de blocage administratif sans décision judiciaire préalable — ce qui place la France parmi les pays dotés d'une architecture de filtrage centralisée, extensible par voie législative future.
La loi SREN regroupe plusieurs dispositifs distincts qu'il convient de ne pas confondre :
- Filtrage DNS (art. 6-10 SREN) : obligation pour les FAI de bloquer les noms de domaine signalés par l'ARCOM ou l'ANSSI dans les catégories légalement définies. L'ARCOM hérite des pouvoirs de blocage administratif précédemment détenus par le ministre de l'Intérieur (depuis LOPPSI 2, 2011, pour la pédopornographie ; depuis 2014 pour le terrorisme). Nouvelles catégories ajoutées par SREN : domaines malveillants signalés par l'ANSSI, sites de jeux illégaux, services IPTV illicites.
- Vérification d'âge (art. 23 SREN) : les sites pornographiques accessibles depuis la France doivent s'assurer que leurs visiteurs sont majeurs. Contrainte : le mécanisme ne doit pas permettre au site de connaître l'identité du visiteur (double anonymat). L'ARCOM peut ordonner le blocage des sites non conformes.
- Devoir de vigilance des plateformes (art. 1-5 SREN) : transposition et adaptation du DSA pour les plateformes hors VLOP. L'ARCOM est désignée coordinateur national des services numériques (CSN) en France.
- Bannissement express (art. 17 SREN) : les juges peuvent prononcer, à titre de peine complémentaire, l'interdiction d'utiliser les réseaux sociaux pour les auteurs de cyberharcèlement grave.
- Filtrage ANSSI (art. 11-15 SREN) : l'ANSSI peut demander aux FAI, résolveurs DNS et hébergeurs de bloquer ou rediriger les communications vers des domaines malveillants détectés (cyberattaques, phishing).
Le filtrage DNS fonctionne en demandant aux FAI de répondre avec une adresse nulle (blocage) ou une page d'avertissement lorsqu'un utilisateur demande la résolution d'un nom de domaine interdit. C'est un outil de blocage de niveau infrastructure, pas de surveillance du contenu.
Limites techniques :
- Facilement contournable : VPN, résolveurs DNS alternatifs (1.1.1.1, 8.8.8.8), DNS over HTTPS (DoH) intégré dans Firefox/Chrome.
- Risque de sur-blocage : un domaine illicite hébergé sur une IP partagée peut entraîner le blocage de domaines légaux colocalisés.
- Latence de mise à jour : entre la détection d'un contenu illicite et le blocage effectif, un délai opérationnel subsiste.
L'efficacité du filtrage DNS est donc de seuil (rend l'accès moins immédiat pour l'utilisateur ordinaire) plutôt que d'éradication. Les rapports ARCOM reconnaissent cette limite.
L'article 23 SREN impose aux sites pornographiques accessibles depuis la France de vérifier la majorité de leurs visiteurs. La contrainte clé : le site ne doit pas connaître l'identité du visiteur — seulement qu'il s'agit d'un majeur.
Mécanismes techniques envisagés :
- Tiers de confiance certifié : un organisme agréé délivre un token anonyme après vérification d'identité. Le site reçoit le token (preuve de majorité), pas l'identité.
- Wallet d'identité numérique (eIDAS 2.0) : le règlement UE 2024/1183 prévoit des portefeuilles d'identité permettant de partager des attributs certifiés (majorité) sans révéler l'identité complète.
- Preuve à divulgation nulle de connaissance : solution cryptographique prouvant la majorité sans révéler l'âge exact ni l'identité.
La CNIL a émis des réserves sur la faisabilité à grande échelle de solutions respectueuses de la vie privée, et sur le risque de centralisation des vérifications chez un petit nombre de prestataires.
L'ARCOM (Autorité de régulation de la communication audiovisuelle et numérique) est née en 2022 de la fusion du CSA et de la HADOPI. La SREN lui confère de nouveaux pouvoirs :
- Coordinateur national des services numériques (CSN) au sens du DSA
- Pouvoir de blocage administratif DNS (sans décision judiciaire préalable) pour les catégories légales
- Compétence sur la vérification d'âge (injonction aux sites non conformes, blocage)
- Compétence sur les services IPTV illicites
Le problème du cumul de rôles : L'ARCOM est à la fois l'autorité qui définit les critères de blocage, qui prononce les décisions de blocage, et qui supervise leur mise en œuvre technique. Ce cumul est inhabituel dans l'architecture des autorités administratives indépendantes françaises, où régulation et sanction sont habituellement séparées.
La voie de recours existe : référé-liberté devant le tribunal administratif dans les 48h suivant une décision de blocage. Mais ce recours est a posteriori — le blocage est effectif immédiatement.
La vigilance porte sur la logique d'extension par strates législatives, documentée sur les 15 dernières années :
- 2011 (LOPPSI 2) : filtrage DNS pour la pédopornographie — cas extrême, large consensus
- 2014 : extension au terrorisme — consensus plus large que prévu à l'époque
- 2024 (SREN) : extension à la cybersécurité, jeux illégaux, IPTV illicite
- Scénario 2027-2030 : pression possible pour étendre à la désinformation "grave", aux deepfakes non labellisés, aux plateformes refusant de modérer certains contenus
Le risque n'est pas que la SREN elle-même censure des contenus légaux — ce n'est pas ce qu'elle prévoit. Le risque est que l'infrastructure de blocage centralisée construite étape par étape soit disponible pour des futurs législateurs aux motivations différentes, sans avoir besoin de créer un nouveau dispositif technique.
Des précédents internationaux illustrent ce glissement : Australie (blocage anti-piratage étendu aux sites de désinformation), Royaume-Uni (Online Safety Act 2023 aux contours plus larges que la SREN).
| Critère | Poids | Note |
|---|---|---|
| Périmètre des obligations imposées | 15 | 9/15 |
| Risques de détournement du filtrage | 15 | 10/15 |
| Traçabilité et surveillance induite | 12 | 7/12 |
| Contrôle indépendant (ARCOM + CNIL) | 13 | 8/13 |
| Droits des personnes concernées | 10 | 8/10 |
| Capacité d'extension du dispositif | 20 | 13/20 |
| Réversibilité | 15 | 7/15 |
| Score total | 62/100 | |
La SREN est une loi ordinaire, modifiable par le Parlement. Le cadre DSA est un règlement UE — plus stable. La principale inertie est l'infrastructure de filtrage DNS : une fois construite et opérationnelle, elle est techniquement disponible pour de futures extensions législatives même si la SREN elle-même était abrogée.