Loi n° 2024-449 du 21 mai 2024 — en vigueur. Les décrets d'application sont publiés progressivement depuis juin 2024. La loi s'articule avec le DSA (règlement UE 2022/2065), directement applicable aux très grandes plateformes.
62
/ 100
Indice d'impact
et de vigilance
En vigueur Impact significatif

Loi SREN — Sécuriser et réguler l'espace numérique

Loi n° 2024-449 du 21 mai 2024 · Filtrage DNS · Vérification d'âge · Pouvoirs ARCOM · Articulation DSA

En bref

La loi SREN encadre les services en ligne en France et adapte le droit national au DSA européen. Ses trois mesures les plus structurantes : un filtrage DNS administratif étendu à de nouvelles catégories de contenus illicites, une obligation de vérification d'âge pour les sites pornographiques sans transmission de l'identité de l'utilisateur, et de nouveaux pouvoirs de régulation pour l'ARCOM.

La SREN ne crée pas de surveillance généralisée d'internet. Le filtrage DNS cible des catégories définies par la loi, pas des opinions ou contenus controversés. Le Conseil constitutionnel a par ailleurs censuré certaines dispositions avant promulgation (décision 2024-863 DC). Le principal point de vigilance tient au rôle de l'ARCOM : elle cumule désormais fonction de régulateur et pouvoir de blocage administratif sans décision judiciaire préalable — ce qui place la France parmi les pays dotés d'une architecture de filtrage centralisée, extensible par voie législative future.

Ce qu'il faut retenir
⚖️SREN ≠ censure internet — Le filtrage DNS est limité aux catégories légales précises (pédopornographie, terrorisme, cybersécurité ANSSI, jeux illégaux). Le blocage de contenus légaux politiquement sensibles n'est pas prévu.
🇪🇺DSA prime sur SREN pour les grandes plateformes — Les VLOP (Meta, Google, TikTok...) sont régulées directement par le DSA européen. La SREN complète ce cadre pour les acteurs de taille intermédiaire et les spécificités françaises.
🔞Vérification d'âge sans identification — L'art. 23 SREN interdit au site de connaître l'identité du visiteur. Le mécanisme doit reposer sur un tiers de confiance ou un token anonyme. La contrainte technique est forte.
🏛️ARCOM : régulateur et opérateur de blocage — Ce cumul de rôles est le principal point de vigilance. Le blocage administratif sans juge existait avant la SREN (LOPPSI 2, 2011), mais le périmètre s'élargit.
📈Précédent d'extension progressive — LOPPSI 2 (2011) → filtrage pédopornographie. Loi antiterroriste (2014) → terrorisme. SREN (2024) → cybersécurité, jeux, IPTV illicite. La logique d'extension par strates législatives est établie.
Garanties prévues par les textes
Contrôle ARCOMLes décisions de blocage peuvent être contestées devant le juge administratif (référé-liberté) dans les 48h.
Contrôle CNILLa CNIL supervise les dispositifs de vérification d'âge pour s'assurer du respect de la vie privée (art. 23 SREN).
Conseil constitutionnelLa décision 2024-863 DC a censuré des dispositions jugées trop attentatoires aux libertés avant promulgation.
DSA comme plancherLe DSA établit des garanties minimales pour toutes les plateformes (recours, transparence algorithmique, signalement). La SREN ne peut déroger en deçà.
Analyse par niveaux
N1 Ce que la loi prévoit exactement

La loi SREN regroupe plusieurs dispositifs distincts qu'il convient de ne pas confondre :

  • Filtrage DNS (art. 6-10 SREN) : obligation pour les FAI de bloquer les noms de domaine signalés par l'ARCOM ou l'ANSSI dans les catégories légalement définies. L'ARCOM hérite des pouvoirs de blocage administratif précédemment détenus par le ministre de l'Intérieur (depuis LOPPSI 2, 2011, pour la pédopornographie ; depuis 2014 pour le terrorisme). Nouvelles catégories ajoutées par SREN : domaines malveillants signalés par l'ANSSI, sites de jeux illégaux, services IPTV illicites.
  • Vérification d'âge (art. 23 SREN) : les sites pornographiques accessibles depuis la France doivent s'assurer que leurs visiteurs sont majeurs. Contrainte : le mécanisme ne doit pas permettre au site de connaître l'identité du visiteur (double anonymat). L'ARCOM peut ordonner le blocage des sites non conformes.
  • Devoir de vigilance des plateformes (art. 1-5 SREN) : transposition et adaptation du DSA pour les plateformes hors VLOP. L'ARCOM est désignée coordinateur national des services numériques (CSN) en France.
  • Bannissement express (art. 17 SREN) : les juges peuvent prononcer, à titre de peine complémentaire, l'interdiction d'utiliser les réseaux sociaux pour les auteurs de cyberharcèlement grave.
  • Filtrage ANSSI (art. 11-15 SREN) : l'ANSSI peut demander aux FAI, résolveurs DNS et hébergeurs de bloquer ou rediriger les communications vers des domaines malveillants détectés (cyberattaques, phishing).
N2 Filtrage DNS : mécanisme et limites techniques

Le filtrage DNS fonctionne en demandant aux FAI de répondre avec une adresse nulle (blocage) ou une page d'avertissement lorsqu'un utilisateur demande la résolution d'un nom de domaine interdit. C'est un outil de blocage de niveau infrastructure, pas de surveillance du contenu.

Idée reçue
Le filtrage DNS permet à l'État de voir quels sites vous visitez.
Réalité
Le filtrage DNS bloque l'accès à certains domaines — il ne produit pas de log de navigation. Les FAI savent quelles requêtes DNS sont bloquées, pas ce que vous consultez sur des sites autorisés.

Limites techniques :

  • Facilement contournable : VPN, résolveurs DNS alternatifs (1.1.1.1, 8.8.8.8), DNS over HTTPS (DoH) intégré dans Firefox/Chrome.
  • Risque de sur-blocage : un domaine illicite hébergé sur une IP partagée peut entraîner le blocage de domaines légaux colocalisés.
  • Latence de mise à jour : entre la détection d'un contenu illicite et le blocage effectif, un délai opérationnel subsiste.

L'efficacité du filtrage DNS est donc de seuil (rend l'accès moins immédiat pour l'utilisateur ordinaire) plutôt que d'éradication. Les rapports ARCOM reconnaissent cette limite.

N3 Vérification d'âge : contrainte technique et vie privée

L'article 23 SREN impose aux sites pornographiques accessibles depuis la France de vérifier la majorité de leurs visiteurs. La contrainte clé : le site ne doit pas connaître l'identité du visiteur — seulement qu'il s'agit d'un majeur.

Mécanismes techniques envisagés :

  • Tiers de confiance certifié : un organisme agréé délivre un token anonyme après vérification d'identité. Le site reçoit le token (preuve de majorité), pas l'identité.
  • Wallet d'identité numérique (eIDAS 2.0) : le règlement UE 2024/1183 prévoit des portefeuilles d'identité permettant de partager des attributs certifiés (majorité) sans révéler l'identité complète.
  • Preuve à divulgation nulle de connaissance : solution cryptographique prouvant la majorité sans révéler l'âge exact ni l'identité.

La CNIL a émis des réserves sur la faisabilité à grande échelle de solutions respectueuses de la vie privée, et sur le risque de centralisation des vérifications chez un petit nombre de prestataires.

Point de vigilance : Si la vérification d'âge est déléguée à un ou deux opérateurs dominants, ces opérateurs auront connaissance des habitudes de navigation d'une fraction significative de la population française — même si le site pornographique lui-même n'a pas cette information.
N4 Pouvoirs ARCOM : indépendance et cumul de rôles

L'ARCOM (Autorité de régulation de la communication audiovisuelle et numérique) est née en 2022 de la fusion du CSA et de la HADOPI. La SREN lui confère de nouveaux pouvoirs :

  • Coordinateur national des services numériques (CSN) au sens du DSA
  • Pouvoir de blocage administratif DNS (sans décision judiciaire préalable) pour les catégories légales
  • Compétence sur la vérification d'âge (injonction aux sites non conformes, blocage)
  • Compétence sur les services IPTV illicites

Le problème du cumul de rôles : L'ARCOM est à la fois l'autorité qui définit les critères de blocage, qui prononce les décisions de blocage, et qui supervise leur mise en œuvre technique. Ce cumul est inhabituel dans l'architecture des autorités administratives indépendantes françaises, où régulation et sanction sont habituellement séparées.

La voie de recours existe : référé-liberté devant le tribunal administratif dans les 48h suivant une décision de blocage. Mais ce recours est a posteriori — le blocage est effectif immédiatement.

N5 Scénario 2030 : glissement vers un filtrage plus large ?

La vigilance porte sur la logique d'extension par strates législatives, documentée sur les 15 dernières années :

  • 2011 (LOPPSI 2) : filtrage DNS pour la pédopornographie — cas extrême, large consensus
  • 2014 : extension au terrorisme — consensus plus large que prévu à l'époque
  • 2024 (SREN) : extension à la cybersécurité, jeux illégaux, IPTV illicite
  • Scénario 2027-2030 : pression possible pour étendre à la désinformation "grave", aux deepfakes non labellisés, aux plateformes refusant de modérer certains contenus

Le risque n'est pas que la SREN elle-même censure des contenus légaux — ce n'est pas ce qu'elle prévoit. Le risque est que l'infrastructure de blocage centralisée construite étape par étape soit disponible pour des futurs législateurs aux motivations différentes, sans avoir besoin de créer un nouveau dispositif technique.

Des précédents internationaux illustrent ce glissement : Australie (blocage anti-piratage étendu aux sites de désinformation), Royaume-Uni (Online Safety Act 2023 aux contours plus larges que la SREN).

Score détaillé
CritèrePoidsNote
Périmètre des obligations imposées159/15
Risques de détournement du filtrage1510/15
Traçabilité et surveillance induite127/12
Contrôle indépendant (ARCOM + CNIL)138/13
Droits des personnes concernées108/10
Capacité d'extension du dispositif2013/20
Réversibilité157/15
Score total62/100
Réversibilité
Modérée

La SREN est une loi ordinaire, modifiable par le Parlement. Le cadre DSA est un règlement UE — plus stable. La principale inertie est l'infrastructure de filtrage DNS : une fois construite et opérationnelle, elle est techniquement disponible pour de futures extensions législatives même si la SREN elle-même était abrogée.

Avant / Après SREN
Avant SREN (pré-2024)
Filtrage DNS fragmenté : pédopornographie (LOPPSI 2, 2011) et terrorisme (2014) gérés par le ministre de l'Intérieur. Vérification d'âge pour sites pornographiques : injonction judiciaire seulement, quasi-inappliquée. Pas de coordinateur national DSA désigné. DSA applicable mais sans coordinateur national.
Après SREN (2024)
Filtrage DNS unifié sous ARCOM + nouvelles catégories (ANSSI, jeux, IPTV). Vérification d'âge avec obligation de double anonymat (art. 23) et pouvoir de blocage ARCOM. ARCOM désignée coordinateur national des services numériques. Infrastructure centralisée disponible pour extensions futures.
Chronologie
2011
LOPPSI 2 — Premier filtrage DNS administratif en France pour la pédopornographie, sans décision judiciaire préalable.
2014
Loi antiterrorisme — Extension du filtrage DNS aux sites à caractère terroriste. Même logique, périmètre élargi.
2022
DSA adopté (règlement UE 2022/2065, 19 oct. 2022) — Cadre européen pour les plateformes, applicable directement. Nécessite désignation d'un coordinateur national.
2022
Création de l'ARCOM (fusion CSA + HADOPI) — L'ARCOM devient l'autorité centrale de régulation des médias et du numérique.
mai 2023
Dépôt du projet de loi SREN à l'Assemblée nationale. Débats parlementaires sur la vérification d'âge et les pouvoirs ARCOM.
mai 2024
Décision CC 2024-863 DC (16 mai) — Le Conseil constitutionnel censure certaines dispositions. Promulgation loi n° 2024-449 le 21 mai 2024.
2024–
Publication progressive des décrets d'application. L'ARCOM met en place les procédures de vérification d'âge et les nouvelles catégories de filtrage.
Sources et références légales
📄
Loi n° 2024-449 du 21 mai 2024 — Texte intégral SREN sur Légifrance. Base légale principale.
📄
Décision CC 2024-863 DC du 16 mai 2024 — Conseil constitutionnel, contrôle de constitutionnalité préalable.
🇪🇺
Règlement UE 2022/2065 (DSA) — Règlement sur les services numériques, applicable directement depuis février 2024 pour les VLOP, août 2024 pour tous.
🏛️
Avis CNIL sur la vérification d'âge — Délibération sur les dispositifs de double anonymat (art. 23 SREN).
📊
Rapports ARCOM sur le filtrage DNS — Bilan annuel des demandes de blocage, catégories et volumes.
Questions fréquentes
La loi SREN permet-elle à l'État de bloquer n'importe quel site internet ?
Non. Le filtrage DNS administratif est limité aux catégories définies par la loi : pédopornographie (depuis 2011), terrorisme (depuis 2014), cybersécurité ANSSI, jeux illégaux, IPTV illicite (depuis 2024). Le blocage de sites légaux pour opinions controversées n'est pas prévu et serait censuré par le Conseil constitutionnel. En revanche, la vigilance porte sur l'extension future de ces catégories par voie législative.
La vérification d'âge SREN oblige-t-elle les internautes à s'identifier sur les sites pornographiques ?
Non — c'est précisément ce que l'article 23 SREN interdit. Le mécanisme doit reposer sur un double anonymat : un tiers de confiance vérifie la majorité, mais le site pornographique ne reçoit qu'un token anonyme attestant la majorité, pas l'identité. La CNIL surveille la conformité des solutions techniques déployées.
Quelle est la différence entre le DSA européen et la loi SREN ?
Le DSA (règlement UE 2022/2065) s'applique directement sans transposition, en priorité aux très grandes plateformes (VLOP). La SREN désigne l'ARCOM comme coordinateur français du DSA et complète le cadre pour les acteurs plus petits et les spécificités nationales (vérification d'âge, bannissement express, filtrage DNS). Les deux textes coexistent et se complètent.
L'ARCOM peut-elle bloquer des sites sans juge ?
Oui, dans les catégories légalement définies — c'est l'héritage du régime de blocage administratif instauré en 2011. Un recours devant le juge administratif (référé-liberté, 48h) est possible après le blocage, mais pas avant. Ce mécanisme précède la SREN ; elle l'étend et le centralise sous l'ARCOM.
Le filtrage DNS est-il efficace ?
Efficacité limitée : contournable par VPN, résolveurs DNS alternatifs ou DNS over HTTPS (DoH). Son effet est de seuil — il rend l'accès moins immédiat pour l'utilisateur non averti. Il ne constitue pas une barrière technique infranchissable. Les rapports ARCOM mentionnent aussi des risques de sur-blocage (domaines légaux hébergés sur les mêmes serveurs que des domaines illicites).