La loi britannique sur la sĂ©curitĂ© en ligne de 2023 (Online Safety Act 2023) reprĂ©sente l’une des tentatives les plus ambitieuses et complètes d’une grande dĂ©mocratie occidentale pour rĂ©glementer la sphère numĂ©rique.

Son architecture repose sur un changement fondamental de philosophie juridique, s’Ă©loignant du principe de longue date de l’immunitĂ© des plateformes pour le contenu gĂ©nĂ©rĂ© par les utilisateurs au profit d’un « devoir de diligence » proactif et fondĂ© sur les risques.

Contenu de la loi

PromulguĂ©e le 26 octobre 2023, ses dispositions clĂ©s sont progressivement entrĂ©es en vigueur tout au long de 2025, marquant une nouvelle ère de gouvernance de l’internet dans le pays. Au cĹ“ur de ce nouveau rĂ©gime se trouve l’imposition d’un « devoir de diligence » juridiquement contraignant Ă  un large Ă©ventail de fournisseurs de services en ligne, rendant ces plateformes directement responsables de la sĂ©curitĂ© de leurs utilisateurs et du contenu qu’ils rencontrent, une rupture nette avec les modèles prĂ©cĂ©dents qui les protĂ©geaient largement de toute responsabilitĂ©.

Le champ d’application de la loi est dĂ©libĂ©rĂ©ment et exceptionnellement large, conçu pour englober l’ensemble de l’Ă©cosystème numĂ©rique moderne. Elle englobe non seulement les plus grandes plateformes de mĂ©dias sociaux et les gĂ©ants de la recherche, mais s’Ă©tend Ă©galement aux places de marchĂ© en ligne, aux applications de messagerie, aux plateformes de jeux vidĂ©o, aux applications de rencontre et mĂŞme Ă  des services plus petits, basĂ©s sur la communautĂ©, tels que les forums de passionnĂ©s, les blogs avec des sections de commentaires et les sites de partage de fichiers. La loi instaure une rĂ©glementation proportionnĂ©e Ă  plusieurs niveaux, adaptĂ©e Ă  la diversitĂ© des services. La charge rĂ©glementaire est calibrĂ©e selon la taille, la fonction et le risque, les obligations les plus strictes s’appliquant aux plateformes les plus importantes et influentes.

Une caractéristique centrale et déterminante de la loi sur la sécurité en ligne est son approche bifurquée du contenu, créant des voies réglementaires distinctes pour le matériel illégal pour tous les utilisateurs et le matériel jugé « légal mais préjudiciable » spécifiquement pour les enfants.

A propos des contenus illĂ©gaux, les plateformes doivent non plus seulement les supprimer sur notification, mais concevoir de manière proactive leurs services et systèmes pour rĂ©duire la probabilitĂ© mĂŞme que des activitĂ©s criminelles se produisent ou que du contenu illĂ©gal apparaisse. Cette obligation prĂ©ventive exige effectivement que les entreprises intègrent des considĂ©rations de sĂ©curitĂ© dans l’architecture de base de leurs plateformes.

La lĂ©gislation pose qu’un volume important de contenu en ligne, bien que parfaitement lĂ©gal, pourrait ĂŞtre dommageable ou inappropriĂ© pour les mineurs. Pour y remĂ©dier, elle Ă©tablit une hiĂ©rarchie des contenus prĂ©judiciables, imposant des obligations strictes Ă  tout service susceptible d’ĂŞtre consultĂ© par des enfants. L’obligation pour ces contenus n’est pas un blocage pur et simple, mais une exigence pour les plateformes de garantir que les enfants aient un « accès adaptĂ© Ă  leur âge », ce qui implique une approche faisant appel Ă  des systèmes de filtrage et de modĂ©ration de contenu adaptĂ©s aux diffĂ©rents groupes d’âge.

Il est donc nĂ©cessaire pour implĂ©menter ces obligations, de connaĂ®tre l’âge de l’utilisateur. Le rĂ©gulateur britannique, Ofcom, a Ă©tĂ© chargĂ© de fournir des orientations sur ce qui constitue une “mĂ©thode d’assurance de l’âge acceptable” pour tel ou tel catĂ©gorie de contenu. Les options prĂ©sentĂ©es sont variĂ©es, notamment l’estimation de l’âge par reconnaissance faciale (scans du visage), les vĂ©rifications par rapport aux donnĂ©es de carte bancaire ou de crĂ©dit, l’utilisation de portefeuilles d’identitĂ© numĂ©rique, la vĂ©rification par les opĂ©rateurs de rĂ©seaux mobiles et la comparaison de l’image d’un utilisateur avec une pièce d’identitĂ© avec photo Ă©mise par le gouvernement. Le gouvernement britannique a publiquement soutenu que ces mesures peuvent ĂŞtre mises en Ĺ“uvre d’une manière qui prĂ©serve la vie privĂ©e. [voix off : ça n’est pas possible].

Les sanctions prĂ©vues sont sĂ©vères, potentiellement existentielles, en cas de manquement. Les amendes peuvent atteindre 18 millions de livres sterling ou 10 % du chiffre d’affaires annuel mondial d’une entreprise, et les cadres supĂ©rieurs peuvent ĂŞtre tenus personnellement responsables pĂ©nalement en cas de non-coopĂ©ration avec le rĂ©gulateur. Ce dernier point permet Ă  l’Ofcom de passer d’une responsabilitĂ© d’entreprise abstraite Ă  une menace concrète pour la libertĂ© et la rĂ©putation personnelles d’un individu. Cela force la question de la conformitĂ© rĂ©glementaire Ă  passer du service juridique au sommet de la hiĂ©rarchie de l’entreprise — la direction gĂ©nĂ©rale et le conseil d’administration. Cette disposition fonctionne donc comme un mĂ©canisme pour intĂ©grer les prioritĂ©s du rĂ©gulateur au cĹ“ur de la structure de gouvernance d’entreprise.

Impact de la loi

La mise en Ĺ“uvre concrète de la loi a rĂ©vĂ©lĂ© un Ă©cart important entre son objectif initial et ses rĂ©sultats observĂ©s, donnant lieu Ă  une sĂ©rie de « consĂ©quences imprĂ©vues » qui touchent aux droits fondamentaux, Ă  la confidentialitĂ© des donnĂ©es, Ă  la concurrence sur le marchĂ© et Ă  l’efficacitĂ© mĂŞme de la lĂ©gislation.

LibertĂ© d’expression

OSA est une menace grave et systĂ©mique pour la libertĂ© d’expression. L’obligation pour les plateformes de gĂ©rer le contenu « prĂ©judiciable » mais lĂ©gal les amène, par prudence, Ă  classifier et restreindre l’accès Ă  un large Ă©ventail de contenus, y compris les reportages d’actualitĂ©, la couverture de la guerre et des conflits, le journalisme d’investigation et les images de manifestations politiques, qui pourraient tous ĂŞtre considĂ©rĂ©s comme « prĂ©judiciables » ou « dĂ©peignant une violence grave » selon les dĂ©finitions larges de la loi. Ce système dĂ©lègue de fait aux entreprises technologiques privĂ©es le rĂ´le d’arbitres de l’État en matière de discours acceptable. Alors que les partisans pourraient y voir une application de la responsabilitĂ©, les critiques y voient un « cadeau massif Ă  la grande technologie ». Cela renforce leur pouvoir en leur donnant une autoritĂ© mandatĂ©e par l’État pour dĂ©cider de ce que les utilisateurs peuvent et ne peuvent pas voir, une fonction quasi-judiciaire pour laquelle les entreprises privĂ©es sont institutionnellement mal adaptĂ©es et dĂ©mocratiquement irresponsables.

Vie privée et sécurité

Le processus obligatoire de contrĂ´le de l’âge brise l’anonymat en ligne, protection historique de toutes sortes de minoritĂ©s, et crĂ©Ă© un lien direct et vĂ©rifiable entre l’identitĂ© rĂ©elle et hors ligne d’un utilisateur et son comportement et ses habitudes de consommation en ligne. C’est aussi très directement un problème de sĂ©curitĂ© : ces donnĂ©es seront volĂ©es un jour ou l’autre. C’est un risque d’autant plus probable que la loi donne dans son article 121 Ă  l’Ofcom le pouvoir d’exiger des entreprises technologiques qu’elles utilisent une « technologie accrĂ©ditĂ©e » pour scanner le contenu de leurs services Ă  la recherche de matĂ©riel d’abus sexuel d’enfants ou de contenu liĂ© au terrorisme. Ce pouvoir s’applique mĂŞme aux services de messagerie privĂ©s chiffrĂ©s de bout en bout. On rĂ©clame des donnĂ©es sensibles… et on affaibli les capacitĂ©s d’encryptage, ça peut difficilement bien finir.

A la mise en place de la loi, qui plus est, l’usage des VPN a explosĂ© au Royaume-Uni : les usagers migrent et, paradoxalement, adoptent des comportements en ligne plus risquĂ©s pour Ă©chapper Ă  la loi.

Renforcement des acteurs Ă©tablis

Contrairement Ă  Meta ou Google, une PME, une association, une jeune start up ne disposent pas des Ă©quipes juridiques dĂ©diĂ©es et des ressources financières nĂ©cessaires pour naviguer dans les orientations volumineuses et complexes de l’Ofcom (qui comptent plus de 1 700 pages) ou pour mettre en Ĺ“uvre les systèmes de vĂ©rification de l’âge coĂ»teux et techniquement difficiles exigĂ©s par la loi.

En mai 2025, la Wikimedia Foundation a fait un recours en justice et expliquĂ© qu’ĂŞtre soumis Ă  la loi mettrait en danger sa capacitĂ© Ă  opĂ©rer ou ĂŞtre consultĂ© au Royaume-Uni. La justice a rejetĂ© ce recours, mais autorisĂ© Wikimedia Ă  faire un nouveau recours si et quand l’Ofcom intervenait dans la gestion du site. Wikimedia a annoncĂ© surveiller la situation et se dit prĂŞte Ă  couper les accès Ă  l’encyclopĂ©die depuis le Royaume-Uni.

En parallèle 4chan et Kiwi Farms, deux entreprises amĂ©ricaines, ont intentĂ© une action en justice contre l’Ofcom devant un tribunal fĂ©dĂ©ral amĂ©ricain. Leur action souligne que la lĂ©gislation a une prĂ©tention universelle, mais n’utilise pas les mĂ©canismes de collaboration judiciaire qui existent bien entre les deux pays : une entreprise qui n’a aucun lien avec le Royaume-Uni est soumis Ă  la loi dès qu’un utilisateur britannique se connecte au site.

Le passage d’une logique procĂ©durale Ă  une logique de valeurs

A un niveau fondamental, l’OSA illustre la bascule d’une logique procĂ©durale Ă  une logique de valeurs. C’est d’ailleurs un point de comparaison intĂ©ressant avec Wikipedia : pourquoi l’encyclopĂ©die collaborative n’est-elle pas devenue une poubelle, au contraire de presque tous les autres rĂ©seaux sociaux au fil du temps? The Verge l’explique de façon convaincante dans un article passionnant : elle est rĂ©siliente parce qu’elle est ennuyeuse, elle ne discute jamais de la valeur du contenu proprement dit, mais consacre toute son Ă©nergie aux procĂ©dures de crĂ©ation de contenu.

Une approche procĂ©durale de la modĂ©ration de contenu se concentre sur le “comment” plutĂ´t que sur le “quoi”. Elle ne dit pas aux plateformes quel contenu spĂ©cifique (en dehors de ce qui est dĂ©jĂ  manifestement illĂ©gal) est bon ou mauvais. Elle impose plutĂ´t des obligations de moyens et de transparence. Par exemple, elle exige que les plateformes :

  • Aient des conditions d’utilisation claires.
  • Mettent en place des mĂ©canismes simples pour que les utilisateurs signalent des contenus illĂ©gaux.
  • Disposent d’un processus d’appel transparent pour les utilisateurs dont le contenu a Ă©tĂ© modĂ©rĂ©.
  • Publient des rapports sur leurs actions de modĂ©ration.

Une approche basĂ©e sur les valeurs comme l’OSA britannique oblige les plateformes Ă  Ă©valuer et Ă  attĂ©nuer les risques de “contenus prĂ©judiciables” (harmful content), mĂŞme lorsque ceux-ci ne sont pas illĂ©gaux (notamment pour les enfants) : la loi force les plateformes Ă  porter un jugement sur la substance mĂŞme du contenu et impose une obligation de rĂ©sultat : non seulement avoir un système, mais s’assurer que ce système empĂŞche activement les utilisateurs (surtout les enfants) d’ĂŞtre exposĂ©s Ă  des “prĂ©judices”. Ce faisant, la loi dĂ©lègue aux entreprises privĂ©es et Ă  l’organe de rĂ©gulation (l’Ofcom) le soin de dĂ©finir ce qui constitue un discours acceptable dans la sociĂ©tĂ©, une mission qui relève normalement du dĂ©bat dĂ©mocratique et de la loi pĂ©nale.

Le problème rĂ©side pour partie dans le fait que des termes comme “harcèlement”, “haineux” ou “abusif” ne sont pas des concepts juridiques stables et objectivement dĂ©finis. Ce sont des notions chargĂ©es de valeurs, dont la perception varie Ă©normĂ©ment d’une personne Ă  l’autre, d’une culture Ă  l’autre et Ă©volue dans le temps. Ce flou juridique engendre plusieurs risques majeurs.

Sans dĂ©finition claire, les plateformes adopteront une stratĂ©gie de “mieux vaut prĂ©venir que guĂ©rir”. Elles supprimeront massivement tout contenu qui pourrait, mĂŞme de loin, ĂŞtre interprĂ©tĂ© comme problĂ©matique. La censure ne vient pas directement de l’État, mais de la sur-modĂ©ration des plateformes qui craignent les sanctions.

Pour les utilisateurs pendant ce temps, l’application des règles devient arbitraire. Un mĂŞme contenu pourra ĂŞtre supprimĂ© un jour et tolĂ©rĂ© le lendemain, en fonction du modĂ©rateur ou de l’algorithme qui l’examine. Il n’y a plus de prĂ©visibilitĂ©, un principe fondamental de l’État de droit.

En utilisant des termes vagues, le Parlement britannique a, de fait, dĂ©lĂ©guĂ© son pouvoir normatif. Ce ne sont plus les lĂ©gislateurs Ă©lus qui dĂ©finissent prĂ©cisĂ©ment les limites de la libertĂ© d’expression, mais l’Ofcom, un rĂ©gulateur non Ă©lu, qui publiera des codes de pratique pour “interprĂ©ter” ce que la loi entend par “prĂ©judiciable”, et les plateformes elles-mĂŞmes, qui crĂ©eront leurs propres règles internes pour se conformer aux interprĂ©tations de l’Ofcom.

Le débat sur ce que notre société tolère comme discours est ainsi retiré de la sphère publique et démocratique pour être confié à des comités de conformité et des régulateurs techniques.

En passant d’une logique procĂ©durale Ă  une logique de valeurs incarnĂ©e par des termes vagues, l’Online Safety Act crĂ©e un système oĂą la censure devient prĂ©ventive, privatisĂ©e et arbitraire. La quĂŞte lĂ©gitime de sĂ©curitĂ© en ligne, sous l’Ă©tendard ici de la sĂ©curitĂ© des enfants et de la lutte contre le terrorisme, se fait au dĂ©triment de la libertĂ© d’expression, de la sĂ©curitĂ© juridique et des principes dĂ©mocratiques fondamentaux.