Loi SREN : quels enjeux pour votre organisation ?

Une nouvelle loi ayant pour but de Sécuriser et de Réguler l’Espace Numérique (SREN) a été promulguée le 21 mai 2024. Cette loi SREN se fonde à protection des citoyens et des organisations.
Quelles sont les principales mesures de ce nouveau cadre réglementaire ? Quels sont ses impacts pour votre entreprise ? 

La loi SREN rebat les cartes pour les fournisseurs Cloud

La loi SREN dispose d’un premier volet, qui a pour but de protéger les droits des internautes en renforçant la lutte contre le cyberharcèlement, les arnaques sur internet ou l’accès aux contenus pornographiques par les mineurs (eux-mêmes). Elle légifère notamment contre l’utilisation des deepfakes, et caractérise notamment les deepfakes à caractère sexuels comme une infraction réprimée par le Code Pénal. La loi SREN limite également l'accès des mineurs aux réseaux sociaux et confère à l'ARCOM le pouvoir de bloquer le téléchargement des plateformes ne respectant pas le référentiel de vérification d'âge, quel que soit le contenu.

Le second volet de mesures de la loi SREN concerne les entreprises, et s’intéresse principalement au sujet du Cloud. Son objectif est de réduire la dépendance des organisations françaises aux fournisseurs Cloud américains, et notamment aux trois hyperscalers Amazon Web Services, Microsoft Azure et Google Cloud qui monopolisent à eux seuls 70% des parts de marché en France. 

Pour ce faire, la loi SREN interdit aux fournisseurs Cloud d’appliquer des frais de transfert de données à leurs clients qui souhaitent changer de fournisseur. Jusqu’ici, ces frais dissuasifs s’élevaient environ à 125% du coût d’abonnement annuel. Par ailleurs, la durée d’utilisation des crédits Cloud et des avoirs commerciaux est plafonnée à une durée d’un an. Enfin, les services Cloud ont désormais l’obligation d’être interopérables : les organisations ne doivent pas être entravées techniquement si elles souhaitent migrer leurs données vers un autre fournisseur.

De nouvelles mesures pour une meilleure souveraineté numérique

Dans un contexte où les fournisseurs Cloud américains sont toujours soumis au Cloud Act, les autorités états-uniennes peuvent accéder aux données de tous leurs clients au nom de la sécurité nationale. 

Face au risque posé par les législations extraterritoriales, la loi SREN impose aux administrations de l'État et à ses opérateurs de protéger leurs données sensibles ou stratégiques. Il s’agit de toutes les données dont une violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou la vie des personnes ou à la protection de la propriété intellectuelle.

Ces données devront être hébergées par des fournisseurs Cloud français ou européens capables d’offrir un niveau de sécurité important. À ce titre, les hébergeurs labellisés “SecNumCloud”, dans sa version 3.2 qui offre des garanties supplémentaires face aux lois extra-européennes,  pourront être privilégiés. 

Une autre mesure concerne l’hébergement des données de santé : depuis quelques années, celui-ci doit impérativement se faire auprès d’un hébergeur certifié HDS. Un amendement de la loi SREN étend cette réglementation à l’archivage des données de santé. 

Au-delà de ces obligations visant à renforcer la souveraineté numérique et la protection des données sensibles, une autre mesure pourrait également concerner votre organisation. 

Tous les éditeurs de sites web devront désormais mettre à la disposition du public le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent le stockage de leurs données. Autrement dit, les mentions légales d’un site web ou d’une application doivent indiquer les fournisseurs Cloud qui assurent l’hébergement de leurs services. 

La Loi SREN oeuvre donc en faveur des organisations françaises pour les aider à s’affranchir des fournisseurs Cloud américains et les inciter à sécuriser leurs données sensibles ou stratégiques auprès d’hébergeurs français et européens. Elle implique un travail de mise en conformité, qui s’annonce particulièrement important pour les administrations de l’État mais aussi pour les OIV (Opérateurs d’importance vitale).