Les produits concernés par ce projet de décret sont les équipements terminaux équipés de systèmes d'exploitation et destinés au marché français.

Décret en Conseil d’Etat portant application de la loi n°2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet

Le projet de décret soumis à notification porte application de la loi du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d'accès à internet. Cette loi a entrainé la création d'obligations applicables aux équipements terminaux permettant l'accès à internet afin de faciliter l'usage, par les parents d'utilisateurs mineurs, des dispositifs de contrôle parental.

Le projet de décret vient préciser cette loi sur plusieurs points.

D'abord, il vient préciser les fonctionnalités techniques attendues pour reconnaitre comme conformes les dispositifs de contrôle parental dont l'activation doit être proposée à l'utilsateur. Afin de garantir une protection minimale à tout enfant dont le parent souhaiterait activer le dispositif de contrôle parental installé sur le terminal, un nouvel article R. 20-29-10-1 du code des postes et des communications électroniques prévoit qu'un tel dispositif devra a minima prévoir la possibilité de bloquer, depuis les magasins d'application, le téléchargement de contenus dont l'accès est légalement interdit au moins de 18 ans (contenus à caractère pornographique, contenus liés à des jeux d'argent) ainsi que de contenus classifiés par l'éditeur en fonction de catégories d'âge recommandé pour leur accès. Le dispositif de contrôle parental devra également permettre de bloquer les mêmes types de contenus lorsqu'ils sont préinstallés sur le terminal.

En parallèle de ces fonctionnalités exigées, le projet de décret vient encadrer les modalités de leur configuration et utilisation. Il exige ainsi, pour les fonctionnalités minimales demandées par le décret, qu'elles soient mises en oeuvre localement sans entrainer de remontée de données personnelles de l'utilisateur mineur vers des serveurs et sans que la configuration du contrôle parental ne nécessite obligatoirement la création d'un compte ou profil utilisateur. La configuration et l'utilisation des fonctionnalités ne doit pas non plus donner lieu à un traitement de données à caractère personnel des mineurs. Des exceptions sont prévues dans le décret en cas d'accord express de l'utilisateur majeur à l'utilisation des données personnelles de l'enfant ou en cas d'impossibilité technique.

Le décret prévoit un encadrement des fonctionnalités supplémentaires qui pourraient être mises en place par les opérateurs économiques sur une base volontaire : elles ne doivent pas donner lieu à un traitement de données à caractère personnel des mineurs ni entrainer une collecte de données de ces utilisateurs mineurs à des fins commerciales. Les mêmes exceptions que pour les fonctionnalités listées dans le décret sont prévues.

Le projet de décret précise également les modalités de certification de la présence de dispositifs de contrôle parental conformes par les fabricants, avec l'appui éventuel des fournisseurs de systèmes d'exploitation. La conformité des équipements terminaux sera d’abord certifiée par le fabricant, puis contrôlée par les distributeurs, importateurs et prestataires de service d’exécution des commandes, via une documentation technique déjà mise en place pour le marquage CE.

La certification de la conformité du terminal par le fabricant est encadrée par les articles R. 20-29-10-2 à 5 du code des postes et des communications électroniques. Ces articles prévoient :

• L'établissement d'une documentation technique et d'une déclaration de conformité par le fabricant attestant de la conformité de chaque type de terminal. Le fabricant peut solliciter aurpès du fournisseur de système d'exploitation un certificat attestant de la conformité du système d'exploitation et du dispositif de contrôle parental aux fonctionnalités techniques de l'article R. 20-29-10-1;
• L'article R. 20-29-10-3 détaille le contenu minimal de la documentation technique qui doit être produite par le fabricant préalablement à la mise sur le marché des équipements ;
• L'article R. 20-29-10-4 détaille le contenu de la déclaration de conformité visant à attester que le terminal intègre les fonctionnalités techniques. Il prévoit également la possibilité pour le fabricant d'intégrer ou non cette déclaration de conformité dans la déclaration "UE" de conformité.
• L'article R. 20-29-10-5 prévoit le contenu du certificat de conformité.
• L'article R. 20-13-2 du code des postes et des communications électroniques vient intégrer la catégrorie de prestataire de servcies d'exécution des commandes dans la chaîne de distribution et aligne leurs obligations concernant la mise sur le marché de produits conformes avec les obligations existantes applicables aux distributeurs et importateurs en vertu de ce code.
• L'article R. 20-29-10-6 encadre les obligations des importateurs et distributeurs concernant la mise sur le marché de produits conformes accompagnés de la documentation nécessaire.

Le projet de décret vient définir dans un article R. 20-29-10-7 les conditions dans lesquelles s'exerce le contrôle de l'Agence nationale des fréquences, autorité nationale de surveillance du marché, sur les obligations de la loi et du décret. Le contrôle a posteriori et les éventuelles sanctions en cas de manquement aux obligations fixées dans la loi et le décret relèvent de l’Agence nationale des fréquences, en sa qualité d’autorité de surveillance des produits. Ses pouvoirs sont étendus par le projet de décret afin qu’elle puisse réaliser évaluations et
enquêtes ainsi que procéder au rappel ou au retrait des produits constatés non conformes.

Enfin, le décret fixe les modalités dans lesquelles les fabricants doivent participer à la diffusion de l'information en matière de risque liés à l'utilisation de services de communication au public en ligne par des utilisateurs mineurs. Un nouvel article R. 20-29-10-8 prévoit une obligation de mise à disposition d'informations relatives aux fonctionnalités proposées par le dispositif de contrôle parental et à sa configuration. Les fabricants devront également mettre à disposition des utilisateurs des contenus informatifs en matière de prévention des risques
liés à l'utilisation de services de communication au public en ligne par des mineurs (pratiques addictives, harcèlement en ligne, exposition à des contenus inappropriés) ainsi que liés à la surexposition et exposition précoce des plus jeunes utilisateurs aux écrans. Une obligation de mise à disposition d'informations est également prévue pour les personnes commercialisant des équipements terminaux d'occasion dont la première mise sur le marché est antérieure à l'entrée en vigueur du projet de décret : pour ces acteurs, il s'agira de
mettre à disposition des utilisateurs des informations relatives aux dispositifs de contrôle parental existants. L'ensemble de ces informations pourront être mises à disposition dans un format choisi par le fabricant (dématérialisé ou non).

Des dispositions particulières propres aux fournisseurs d'accès à internet sont également intégrées dans le texte soumis à notification, mais auront vocation à être codifiées à un niveau réglementaire inférieur dans le code des postes et des communications électroniques. Ces dispositions portent application de l'article 6 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique et visent à préciser les fonctionnalités minimales que devront mettre à disposition gratuitement ces fournisseurs d'accès à internet : il s'agira de fonctionnalités permettant le blocage de l'accès de mineurs à des contenus préjudicables.

Une période nécessaire de mise en conformité de l'ensemble des acteurs concernés par ce texte seranécessaire : les obligations du décret ne rentreront en vigueur que 12 mois après sa publication.