La loi britannique sur la sécurité en ligne de 2023 (Online Safety Act 2023) représente l’une des tentatives les plus ambitieuses et complètes d’une grande démocratie occidentale pour réglementer la sphère numérique.

Son architecture repose sur un changement fondamental de philosophie juridique, s’éloignant du principe de longue date de l’immunité des plateformes pour le contenu généré par les utilisateurs au profit d’un « devoir de diligence » proactif et fondé sur les risques.

Contenu de la loi

Promulguée le 26 octobre 2023, ses dispositions clés sont progressivement entrées en vigueur tout au long de 2025, marquant une nouvelle ère de gouvernance de l’internet dans le pays. Au cœur de ce nouveau régime se trouve l’imposition d’un « devoir de diligence » juridiquement contraignant à un large éventail de fournisseurs de services en ligne, rendant ces plateformes directement responsables de la sécurité de leurs utilisateurs et du contenu qu’ils rencontrent, une rupture nette avec les modèles précédents qui les protégeaient largement de toute responsabilité.

Le champ d’application de la loi est délibérément et exceptionnellement large, conçu pour englober l’ensemble de l’écosystème numérique moderne. Elle englobe non seulement les plus grandes plateformes de médias sociaux et les géants de la recherche, mais s’étend également aux places de marché en ligne, aux applications de messagerie, aux plateformes de jeux vidéo, aux applications de rencontre et même à des services plus petits, basés sur la communauté, tels que les forums de passionnés, les blogs avec des sections de commentaires et les sites de partage de fichiers. La loi instaure une réglementation proportionnée à plusieurs niveaux, adaptée à la diversité des services. La charge réglementaire est calibrée selon la taille, la fonction et le risque, les obligations les plus strictes s’appliquant aux plateformes les plus importantes et influentes.

Une caractéristique centrale et déterminante de la loi sur la sécurité en ligne est son approche bifurquée du contenu, créant des voies réglementaires distinctes pour le matériel illégal pour tous les utilisateurs et le matériel jugé « légal mais préjudiciable » spécifiquement pour les enfants.

A propos des contenus illégaux, les plateformes doivent non plus seulement les supprimer sur notification, mais concevoir de manière proactive leurs services et systèmes pour réduire la probabilité même que des activités criminelles se produisent ou que du contenu illégal apparaisse. Cette obligation préventive exige effectivement que les entreprises intègrent des considérations de sécurité dans l’architecture de base de leurs plateformes.

La législation pose qu’un volume important de contenu en ligne, bien que parfaitement légal, pourrait être dommageable ou inapproprié pour les mineurs. Pour y remédier, elle établit une hiérarchie des contenus préjudiciables, imposant des obligations strictes à tout service susceptible d’être consulté par des enfants. L’obligation pour ces contenus n’est pas un blocage pur et simple, mais une exigence pour les plateformes de garantir que les enfants aient un « accès adapté à leur âge », ce qui implique une approche faisant appel à des systèmes de filtrage et de modération de contenu adaptés aux différents groupes d’âge.

Il est donc nécessaire pour implémenter ces obligations, de connaître l’âge de l’utilisateur. Le régulateur britannique, Ofcom, a été chargé de fournir des orientations sur ce qui constitue une “méthode d’assurance de l’âge acceptable” pour tel ou tel catégorie de contenu. Les options présentées sont variées, notamment l’estimation de l’âge par reconnaissance faciale (scans du visage), les vérifications par rapport aux données de carte bancaire ou de crédit, l’utilisation de portefeuilles d’identité numérique, la vérification par les opérateurs de réseaux mobiles et la comparaison de l’image d’un utilisateur avec une pièce d’identité avec photo émise par le gouvernement. Le gouvernement britannique a publiquement soutenu que ces mesures peuvent être mises en œuvre d’une manière qui préserve la vie privée. [voix off : ça n’est pas possible].

Les sanctions prévues sont sévères, potentiellement existentielles, en cas de manquement. Les amendes peuvent atteindre 18 millions de livres sterling ou 10 % du chiffre d’affaires annuel mondial d’une entreprise, et les cadres supérieurs peuvent être tenus personnellement responsables pénalement en cas de non-coopération avec le régulateur. Ce dernier point permet à l’Ofcom de passer d’une responsabilité d’entreprise abstraite à une menace concrète pour la liberté et la réputation personnelles d’un individu. Cela force la question de la conformité réglementaire à passer du service juridique au sommet de la hiérarchie de l’entreprise — la direction générale et le conseil d’administration. Cette disposition fonctionne donc comme un mécanisme pour intégrer les priorités du régulateur au cœur de la structure de gouvernance d’entreprise.

Impact de la loi

La mise en œuvre concrète de la loi a révélé un écart important entre son objectif initial et ses résultats observés, donnant lieu à une série de « conséquences imprévues » qui touchent aux droits fondamentaux, à la confidentialité des données, à la concurrence sur le marché et à l’efficacité même de la législation.

Liberté d’expression

OSA est une menace grave et systémique pour la liberté d’expression. L’obligation pour les plateformes de gérer le contenu « préjudiciable » mais légal les amène, par prudence, à classifier et restreindre l’accès à un large éventail de contenus, y compris les reportages d’actualité, la couverture de la guerre et des conflits, le journalisme d’investigation et les images de manifestations politiques, qui pourraient tous être considérés comme « préjudiciables » ou « dépeignant une violence grave » selon les définitions larges de la loi. Ce système délègue de fait aux entreprises technologiques privées le rôle d’arbitres de l’État en matière de discours acceptable. Alors que les partisans pourraient y voir une application de la responsabilité, les critiques y voient un « cadeau massif à la grande technologie ». Cela renforce leur pouvoir en leur donnant une autorité mandatée par l’État pour décider de ce que les utilisateurs peuvent et ne peuvent pas voir, une fonction quasi-judiciaire pour laquelle les entreprises privées sont institutionnellement mal adaptées et démocratiquement irresponsables.

Vie privée et sécurité

Le processus obligatoire de contrôle de l’âge brise l’anonymat en ligne, protection historique de toutes sortes de minorités, et créé un lien direct et vérifiable entre l’identité réelle et hors ligne d’un utilisateur et son comportement et ses habitudes de consommation en ligne. C’est aussi très directement un problème de sécurité : ces données seront volées un jour ou l’autre. C’est un risque d’autant plus probable que la loi donne dans son article 121 à l’Ofcom le pouvoir d’exiger des entreprises technologiques qu’elles utilisent une « technologie accréditée » pour scanner le contenu de leurs services à la recherche de matériel d’abus sexuel d’enfants ou de contenu lié au terrorisme. Ce pouvoir s’applique même aux services de messagerie privés chiffrés de bout en bout. On réclame des données sensibles… et on affaibli les capacités d’encryptage, ça peut difficilement bien finir.

A la mise en place de la loi, qui plus est, l’usage des VPN a explosé au Royaume-Uni : les usagers migrent et, paradoxalement, adoptent des comportements en ligne plus risqués pour échapper à la loi.

Renforcement des acteurs établis

Contrairement à Meta ou Google, une PME, une association, une jeune start up ne disposent pas des équipes juridiques dédiées et des ressources financières nécessaires pour naviguer dans les orientations volumineuses et complexes de l’Ofcom (qui comptent plus de 1 700 pages) ou pour mettre en œuvre les systèmes de vérification de l’âge coûteux et techniquement difficiles exigés par la loi.

En mai 2025, la Wikimedia Foundation a fait un recours en justice et expliqué qu’être soumis à la loi mettrait en danger sa capacité à opérer ou être consulté au Royaume-Uni. La justice a rejeté ce recours, mais autorisé Wikimedia à faire un nouveau recours si et quand l’Ofcom intervenait dans la gestion du site. Wikimedia a annoncé surveiller la situation et se dit prête à couper les accès à l’encyclopédie depuis le Royaume-Uni.

En parallèle 4chan et Kiwi Farms, deux entreprises américaines, ont intenté une action en justice contre l’Ofcom devant un tribunal fédéral américain. Leur action souligne que la législation a une prétention universelle, mais n’utilise pas les mécanismes de collaboration judiciaire qui existent bien entre les deux pays : une entreprise qui n’a aucun lien avec le Royaume-Uni est soumis à la loi dès qu’un utilisateur britannique se connecte au site.

Le passage d’une logique procédurale à une logique de valeurs

A un niveau fondamental, l’OSA illustre la bascule d’une logique procédurale à une logique de valeurs. C’est d’ailleurs un point de comparaison intéressant avec Wikipedia : pourquoi l’encyclopédie collaborative n’est-elle pas devenue une poubelle, au contraire de presque tous les autres réseaux sociaux au fil du temps? The Verge l’explique de façon convaincante dans un article passionnant : elle est résiliente parce qu’elle est ennuyeuse, elle ne discute jamais de la valeur du contenu proprement dit, mais consacre toute son énergie aux procédures de création de contenu.

Une approche procédurale de la modération de contenu se concentre sur le “comment” plutôt que sur le “quoi”. Elle ne dit pas aux plateformes quel contenu spécifique (en dehors de ce qui est déjà manifestement illégal) est bon ou mauvais. Elle impose plutôt des obligations de moyens et de transparence. Par exemple, elle exige que les plateformes :

  • Aient des conditions d’utilisation claires.
  • Mettent en place des mĂ©canismes simples pour que les utilisateurs signalent des contenus illĂ©gaux.
  • Disposent d’un processus d’appel transparent pour les utilisateurs dont le contenu a Ă©tĂ© modĂ©rĂ©.
  • Publient des rapports sur leurs actions de modĂ©ration.

Une approche basée sur les valeurs comme l’OSA britannique oblige les plateformes à évaluer et à atténuer les risques de “contenus préjudiciables” (harmful content), même lorsque ceux-ci ne sont pas illégaux (notamment pour les enfants) : la loi force les plateformes à porter un jugement sur la substance même du contenu et impose une obligation de résultat : non seulement avoir un système, mais s’assurer que ce système empêche activement les utilisateurs (surtout les enfants) d’être exposés à des “préjudices”. Ce faisant, la loi délègue aux entreprises privées et à l’organe de régulation (l’Ofcom) le soin de définir ce qui constitue un discours acceptable dans la société, une mission qui relève normalement du débat démocratique et de la loi pénale.

Le problème réside pour partie dans le fait que des termes comme “harcèlement”, “haineux” ou “abusif” ne sont pas des concepts juridiques stables et objectivement définis. Ce sont des notions chargées de valeurs, dont la perception varie énormément d’une personne à l’autre, d’une culture à l’autre et évolue dans le temps. Ce flou juridique engendre plusieurs risques majeurs.

Sans définition claire, les plateformes adopteront une stratégie de “mieux vaut prévenir que guérir”. Elles supprimeront massivement tout contenu qui pourrait, même de loin, être interprété comme problématique. La censure ne vient pas directement de l’État, mais de la sur-modération des plateformes qui craignent les sanctions.

Pour les utilisateurs pendant ce temps, l’application des règles devient arbitraire. Un même contenu pourra être supprimé un jour et toléré le lendemain, en fonction du modérateur ou de l’algorithme qui l’examine. Il n’y a plus de prévisibilité, un principe fondamental de l’État de droit.

En utilisant des termes vagues, le Parlement britannique a, de fait, délégué son pouvoir normatif. Ce ne sont plus les législateurs élus qui définissent précisément les limites de la liberté d’expression, mais l’Ofcom, un régulateur non élu, qui publiera des codes de pratique pour “interpréter” ce que la loi entend par “préjudiciable”, et les plateformes elles-mêmes, qui créeront leurs propres règles internes pour se conformer aux interprétations de l’Ofcom.

Le débat sur ce que notre société tolère comme discours est ainsi retiré de la sphère publique et démocratique pour être confié à des comités de conformité et des régulateurs techniques.

En passant d’une logique procédurale à une logique de valeurs incarnée par des termes vagues, l’Online Safety Act crée un système où la censure devient préventive, privatisée et arbitraire. La quête légitime de sécurité en ligne, sous l’étendard ici de la sécurité des enfants et de la lutte contre le terrorisme, se fait au détriment de la liberté d’expression, de la sécurité juridique et des principes démocratiques fondamentaux.