134 votes pour, 75 votes contre. Le 10 avril, exactement onze mois après sa présentation en Conseil des ministres, le projet de loi s« écuriser et réguler l'espace numérique » a été définitivement adopté. Mais le vrai chantier ne fait que commencer, puisque le texte induit la mise en place de deux dispositifs aujourd'hui inexistants : la vérification de l'âge sur les sites pornographiques et le filtre anti-arnaques. Or, l'exécution technique de chacun des deux dispositifs déterminera en grande partie le succès de la loi.

Lire aussiLes sites pornos vérifieront temporairement l'âge des internautes avec une carte bancaire

Sur la restriction de l'accès des mineurs à la pornographie, la première pierre du chantier vient tout juste d'être posée. L'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) a lancé au lendemain du vote une consultation publique d'un mois sur son projet de référentiel. Ce dernier, qui sera discuté avec les sites porno, précise les seize critères de confidentialité, d'efficacité et de sécurité que devront respecter les futurs dispositifs de vérification de l'âge agréés par l'autorité. Il prévoit aussi que pendant six mois, en attendant la mise en place des nouveaux outils, les sites pornographiques puissent vérifier l'âge de leurs utilisateurs par le biais... d'une carte bancaire. Cette méthode, bien moins robuste et respectueuse de la vie privée que les mécanismes de double anonymat promus par les experts, a cependant le mérite d'être facile à déployer et d'être quoiqu'il en soit plus efficace que la simple question à cocher « avez-vous plus de 18 ans ? » en place aujourd'hui.

Au point du côté technique, moins au niveau des moyens humains

« Ce projet référentiel va dans le bon sens, mais il arrive beaucoup trop tard », regrette Olivier Blazy. Ce professeur à l'école Polytechnique avait travaillé avec la Cnil et les services de l'Etat sur le sujet dès 2022. Avec, à la clé, la présentation d'un mécanisme de vérification de l'âge respectueux de la vie privée, destiné à démontrer la faisabilité technique de la loi.

« Le chantier aurait pu démarrer à ce moment-là... Mais nous sommes deux ans plus tard et l'Arcom organise une consultation publique, qu'il faudra ensuite dépouiller et analyser avant de lancer le référentiel avec les mesures transitoires. Puis, il faudra le temps d'agréer les outils et de déployer le dispositif final... Bref, nous sommes coincés avec la vérification par carte bancaire pendant longtemps », soupire-t-il. »

Les autorités s'attaquent à un immense chantier : elles doivent encore définir un système d'homologation des solutions, implémenter des mécanismes de contrôle du dispositif, et puis les faire respecter. « Ce sont des mesures faciles à mettre en place sur le papier, mais qui demandent un grand et long travail d'organisation. Nous sommes au point côté technique et cryptographique, mais il faut de l'humain derrière », analyse Olivier Blazy.

Autre mesure phare de la loi SREN, issue d'une promesse de campagne d'Emmanuel Macron, le filtre anti-arnaque part d'une grande ambition : annihiler l'efficacité des arnaques au CPF ou aux fausses amendes de l'ANTAI. Ces campagnes de messages envoyés par SMS ou email servent à diffuser des liens vers des sites malveillants. Une fois que la victime a cliqué sur l'un d'entre eux, elle se retrouve face à un subterfuge destiné à récolter ses coordonnées bancaires et ses données personnelles. Pour empêcher ce scénario, le filtre interviendra au moment du clic : au lieu d'atterrir directement sur le site malveillant, le victime se retrouvera face à un message d'avertissement sur la dangerosité de ce dernier, et pourra choisir de poursuivre ou non sa navigation.

La standardisation complexe des signalements

Concrètement, le dispositif devra être branché à une liste noire de sites malveillants, alimentée en permanence par des signalements. Cette liste sera ensuite envoyée aux navigateurs web (Google Chrome, Mozilla Firefox, Microsoft Edge...), qui se chargeront d'afficher le message d'avertissement. Ici aussi, le chantier est important : aux dernières nouvelles datées de l'an dernier, les équipes de Cybermalveillance.gouv.fr attendaient un financement de plus d'un million d'euros pour s'attaquer au chantier technique. Elles devaient notamment adresser les enjeux chronophages de standardisation des signalements, du mode d'envoi aux navigateurs, et de la mise en place d'une autorité de contrôle indépendante.

Contactées, elles ont décliné tout commentaire sur l'état d'avancement du dispositif. Où qu'elles en soit, la mise en œuvre du filtre anti-arnaque devrait prendre « plusieurs mois », selon la ministre. Avec la lourde tâche, à terme, de répondre non seulement aux ambitions de la loi, mais aussi à la promesse du président.