Analyse comparée
Introduction — La fiction de l'impuissance technique
Les États démocratiques contemporains partagent une posture singulière face à l'espace numérique : ils se déclarent impuissants à en réguler les excès, tout en disposant des outils techniques et juridiques qui permettraient précisément de le faire. Cette contradiction n'est ni accidentelle ni inévitable. Elle est le produit d'un choix politique, souvent dissimulé derrière un argument de complexité technique que le grand public, insuffisamment formé aux réalités de l'infrastructure numérique, accepte faute de pouvoir le contester.
Or, les faits sont obstinés. La carte bancaire à puce identifie l'âge de son titulaire. Les systèmes d'identification numérique certifiée permettent l'authentification sans révélation d'identité complète. Les fournisseurs d'accès à Internet bloquent des domaines entiers sur simple injonction judiciaire. Les algorithmes de détection de contenus fonctionnent à grande échelle. Ces outils ne sont pas des projets de recherche : ils sont déployés, opérationnels, utilisés — mais pas pour faire respecter l'ordre public numérique.
La présente aanlyse se propose d'examiner, dans une perspective comparée, les fondements de la responsabilité régalienne en matière de sécurité numérique (Titre I), l'état des lieux de la régulation effective en Europe, aux États-Unis et dans le reste du monde (Titre II), les solutions techniques disponibles et leur justification juridique (Titre III), avant d'en évaluer la portée et les conséquences prévisibles (Titre IV).1
Titre I — La sécurité publique comme obligation régalienne
I.A — Une obligation dévolue à l'État : fondements constitutionnels et internationaux comparés
La sécurité est, dans toutes les grandes traditions constitutionnelles, une prérogative et une obligation de l'État. Elle ne se confond pas avec la surveillance : elle désigne l'ensemble des mécanismes par lesquels une société organisée garantit à ses membres la protection contre les atteintes à leurs droits fondamentaux, à leurs biens et à leur dignité. Cette obligation ne s'éteint pas aux frontières du monde physique.2
En droit français, le Préambule de la Constitution de 1946 et la Déclaration des droits de l'homme et du citoyen de 1789 fondent conjointement l'obligation de protection publique. Le Conseil constitutionnel a consacré la sécurité comme objectif de valeur constitutionnelle. En droit américain, le dixième amendement réserve aux États fédérés les pouvoirs de police générale, tandis que le Congrès fédéral dispose d'une compétence concurrente sur le commerce interstate — compétence qui englobe, depuis une jurisprudence constante, les communications électroniques. En droit allemand, le Bundesverfassungsgericht a dégagé du principe d'État de droit (Rechtsstaatsprinzip) une obligation positive de protection (Schutzpflicht) qui s'impose aux pouvoirs publics même lorsque la menace est d'origine privée.
Ces fondements convergent vers un constat commun : l'État ne peut se soustraire à son obligation de sécurité en invoquant la nouveauté du médium. Le droit pénal s'est appliqué au téléphone, à la radio et à la télévision dès leur apparition. Il n'existe aucun principe juridique qui ferait d'Internet un espace dérogatoire au droit commun — sauf à y voir, précisément, un choix politique délibéré.
I.B — Les bras armés de l'État : opérateurs, délégataires de service public et gatekeepers numériques
La mise en œuvre de l'obligation de sécurité n'incombe pas à l'État seul. Elle se prolonge, dans tous les systèmes juridiques modernes, par une délégation aux opérateurs privés qui contrôlent l'infrastructure ou la distribution des services publics essentiels. Les fournisseurs d'accès à Internet (FAI), les opérateurs de téléphonie, les prestataires de services de paiement sont, à des titres divers, investis de responsabilités qui dépassent leur seul intérêt commercial.3
Le règlement européen sur les marchés numériques (DMA) a formalisé cette réalité en consacrant la catégorie des « contrôleurs d'accès » (gatekeepers) : des entreprises privées que leur position structurelle sur les marchés numériques rend co-responsables du bon fonctionnement de ceux-ci.4 Cette qualification est décisive. Elle rompt avec la fiction du simple « tuyau » neutre et reconnaît que certains acteurs privés exercent, de facto, une fonction d'infrastructure publique Ou bien a priori. À ce titre, ils ne peuvent pas seulement être régulés a posteriori : ils peuvent être investis d'obligations préventives.5 Ou bien a priori.
Cette logique n'est pas nouvelle. Elle reproduit, dans l'espace numérique, le schéma classique des délégations de service public : le délégataire reçoit une concession d'exploitation exclusive ou dominante, et en contrepartie assume des obligations de service que l'État ne peut plus assumer seul. La différence est que, dans le numérique, la délégation n'a jamais été formellement accordée — elle s'est constituée par défaut, au gré de la croissance des plateformes, sans que les obligations correspondantes aient jamais été clairement énoncées.
Il convient à cet égard de souligner que l'absence d'identification des utilisateurs sur les plateformes numériques n'est pas une lacune technique mais un choix économique délibéré. Comme le démontre l'analyse des contrats d'adhésion numériques, exiger une vérification d'identité réelle — pièce d'identité, numéro de téléphone vérifié, adresse physique — créerait une « friction » à l'inscription susceptible de réduire le nombre d'utilisateurs enregistrés.
Or, pour un modèle économique fondé sur la masse d'utilisateurs et la monétisation de leurs données, chaque utilisateur supplémentaire — même fictif, même mineur, même malveillant (un mineur accédant à un site dit sensible, un fraudeur, un harceleur etc.) — représente une valeur comptable. L'anonymat n'est donc pas la conséquence inévitable de la technologie : c'est le produit d'un arbitrage économique réalisé par les plateformes au détriment de la sécurité collective.
C'est précisément cet arbitrage que les États, en leur qualité de garants de l'ordre public, ont le pouvoir — et l'obligation — de corriger.
Titre II — État des lieux : entre inaction et régulation partielle
II.A — En Europe : DSA, DMA, eIDAS et les limites de leur application effective
L'Union européenne dispose, depuis 2022, d'un arsenal réglementaire inédit dans l'histoire de la régulation numérique. Le DSA impose aux très grandes plateformes des obligations de transparence algorithmique, de gestion des signalements, de suppression rapide des contenus illicites et de coopération avec les autorités. Le DMA contraint les gatekeepers à des obligations d'interopérabilité et d'ouverture. Le règlement eIDAS établit un cadre d'identification électronique certifiée, reconnu dans tous les États membres.6
Ces textes sont remarquables par leur ambition. Ils le sont moins par leur application. Les premières procédures d'enforcement du DSA, engagées par la Commission européenne, se caractérisent par leur lenteur : plusieurs années de procédure pour des comportements documentés. Les sanctions sont certes théoriquement élevées (jusqu'à 6 % du chiffre d'affaires mondial), mais elles n'ont pas encore démontré leur effet dissuasif réel. Surtout, le DSA ne s'applique directement qu'aux très grandes plateformes (plus de 45 millions d'utilisateurs mensuels dans l'UE), laissant un angle mort considérable pour les acteurs de taille intermédiaire.
Quant à eIDAS, son déploiement pratique reste embryonnaire. Le « portefeuille d'identité numérique européen » (European Digital Identity Wallet) prévu par la révision de 2024 n'est pas encore généralisé. La possibilité qu'il offre — prouver son âge ou sa résidence sans révéler son identité complète — n'est accessible qu'à une minorité d'utilisateurs dans quelques États pionniers. L'outil existe. Il n'est pas utilisé à son potentiel.
II.B — Aux États-Unis : la Section 230 comme bouclier politique
La Section 230 du Communications Decency Act américain de 1996 a constitué, pendant trente ans, le fondement juridique de l'immunité des plateformes numériques pour les contenus produits par leurs utilisateurs.7 Sa logique initiale était cohérente : en 1996, une plateforme en ligne était effectivement un tuyau passif, incapable de modérer techniquement les millions de contenus qui y transitaient.
Comme je l'ai démontré dans mon analyse antérieure sur le sujet8, « Communication Act - The Good Samaritan - Section 230 - A Policy Misclassified », DSE Review/CCG, 2025 — https://digital-synapse-exchange.com/publicInternetArticle/169,cette qualification est devenue une fiction juridique. Les plateformes modèrent, priorisent, amplifiaient, monétisent. Elles ne sont pas neutres : elles exercent un pouvoir éditorial de facto, à grande échelle et de manière algorithmiquement ciblée. Leur immunité n'est plus une conséquence technique mais un choix politique maintenu par une pression lobbyiste exceptionnelle.
Des propositions législatives de réforme (EARN IT Act, KOSA Act, STOP CSAM Act) ont émergé au Congrès, avec des succès très partiels. La Cour suprême, dans les affaires Gonzalez v. Google (2023) et Twitter v. Taamneh (2023), a maintenu une interprétation large de l'immunité, tout en laissant ouverte la question de ses limites constitutionnelles. Le débat est structurellement bloqué par l'opposition entre la liberté d'expression du Premier amendement et la nécessité d'une responsabilisation des plateformes.
II.C — Dans le reste du monde : les précédents ignorés
La doctrine européenne et américaine ignore généralement les expériences conduites ailleurs dans le monde, souvent avec une efficacité technique réelle — quelles que soient les réserves politiques qu'elles peuvent susciter.
La Corée du Sud a expérimenté, entre 2007 et 2012, un système d'identification réelle obligatoire sur les grandes plateformes numériques : tout utilisateur souhaitant publier un commentaire devait préalablement s'identifier via son numéro d'enregistrement national. La Cour constitutionnelle coréenne a partiellement annulé ce dispositif en 2012, estimant qu'il portait une atteinte disproportionnée à la liberté d'expression.9 L'expérience est précieuse : elle démontre que le système fonctionne techniquement, mais qu'il doit être articulé avec des garanties proportionnées pour satisfaire aux exigences des droits fondamentaux.
L'Australie a adopté l'Online Safety Act en 2021, créant un commissaire à la sécurité en ligne doté de pouvoirs réels d'injonction contre les plateformes, y compris le blocage de contenus et l'imposition d'amendes journalières.10 La loi est entrée en vigueur et fait l'objet d'une application effective, y compris contre des acteurs internationaux.
Singapour a adopté le POFMA (Protection from Online Falsehoods and Manipulation Act) en 201911, permettant aux ministres d'ordonner la rectification ou le retrait de contenus jugés faux dans les 24 heures. Le Brésil a développé un cadre original avec le Marco Civil da Internet, combinant protection des données, responsabilité des plateformes et obligations de coopération judiciaire.12
Ces exemples — auxquels on peut ajouter, à titre purement technique et sans en cautionner les finalités politiques, les systèmes de filtrage déployés par la Chine ou la Russie13 — démontrent que la régulation effective de l'espace numérique est techniquement possible. Les outils fonctionnent. C'est leur déploiement dans un cadre respectueux des droits fondamentaux qui constitue le véritable enjeu.
Titre III — Les solutions disponibles : inventaire d'outils existants et opérationnels
III.A — Blocage IP/DNS, traçabilité financière et la justification par la police contractuelle privée
La carte bancaire à puce EMV contient les données d'identité de son titulaire, dont la date de naissance. Les terminaux de paiement accèdent à ces données au moment de la transaction.14 Il suffirait d'une obligation réglementaire imposant le paiement électronique pour l'accès aux produits et lieux soumis à restriction d'âge pour rendre le contrôle automatique, instantané et non-falsifiable comme dans les tabacs, discothèques, les débits de boissons alcoolisées etc (Pour les produits et services gratuits, comme le font certains sites internets pour vérifier la validité d'une CB et du compte lié, on peut imaginer une empreinte à 0.00 euros de la CB du mineur). Aucun développement technologique n'est nécessaire : l'infrastructure est en place depuis la généralisation de la DSP2 en Europe.
Le blocage DNS et le blocage IP sont des techniques dont la mise en œuvre opérationnelle est maîtrisée par l'ensemble des fournisseurs d'accès à Internet. Lorsqu'un tribunal ordonne le blocage d'un site de streaming illicite, ce blocage est effectif en quelques heures. La même procédure, appliquée à d'autres catégories de contenus illicites, produirait des effets identiques. L'argument de la difficulté technique ne tient pas : la difficulté est organisationnelle et politique, non technique.
La justification juridique de ces obligations repose sur un argument de symétrie que le droit des contrats permet de construire rigoureusement.15 Les entreprises, notamment les opérateurs de plateformes numériques, exercent déjà une forme de police contractuelle a priori : elles bloquent des comptes, suspendent des accès, appliquent des pénalités financières en dehors de tout contrôle judiciaire, en vertu de clauses générales que l'utilisateur a acceptées sans négociation réelle. Ces clauses — pénales, indemnitaires, de résiliation — sont juridiquement valides malgré leur caractère unilatéral, sous réserve du contrôle a posteriori du juge.
Or, si une entreprise privée peut légitimement exercer ce pouvoir de contrainte pour la défense de ses seuls intérêts pécuniaires, elle ne peut raisonnablement soutenir qu'elle serait dans l'impossibilité d'exercer ce même pouvoir — à coût marginal nul ou faible — pour contribuer à la défense de l'ordre public. La police privée contractuelle, exercée a priori au profit de l'actionnaire, constitue juridiquement le modèle et la justification de la police privée légale exercée a priori au profit de la collectivité.
Cette asymétrie contractuelle est d'autant plus intolérable qu'elle est intentionnelle. La doctrine anglo-saxonne nomme ce mécanisme rational apathy — l'apathie rationnelle du consommateur : lorsque le préjudice individuel est inférieur au coût d'accès à la justice, le consommateur renonce à agir. Les plateformes intègrent sciemment ce calcul dans leur modèle économique. Si les données de trois milliards de comptes sont compromises, l'indemnisation individuelle est de quelques centimes. Si la plateforme subit une panne affectant des centaines de millions d'utilisateurs, la compensation contractuelle est nulle. En revanche, si l'utilisateur manque à ses obligations, la sanction est automatique et immédiate. La clause pénale est unilatéralement stipulée au profit de l'entreprise — jamais au profit du consommateur. Si 1 = 1, alors la sanction du manquement de l'un doit être la sanction du manquement de l'autre. Ce principe de réciprocité est inhérent à la commutativité.
Les données publiques confirment l'ampleur du déséquilibre. Meta déclare chaque trimestre auprès de la Securities and Exchange Commission (SEC) un ARPU — Average Revenue Per User — d'environ 230 dollars par utilisateur et par an en Amérique du Nord. Alphabet déclare 307,4 milliards de dollars de revenus publicitaires en 2024, quasi intégralement générés par les données d'utilisation. Ces chiffres sont audités et certifiés. Or, la contrepartie déclarée au consommateur est de cinq dollars de coût marginal de service. La réduction fractionnaire révèle un déséquilibre de l'ordre de 1/46 là où un contrat commutatif exigerait un rapport tendant vers 1/1. Ce sont les mêmes entreprises qui se déclarent incapables de vérifier l'identité ou l'âge de leurs utilisateurs. La contradiction est frontale : elles savent mesurer exactement la valeur extraite de chaque utilisateur ; elles prétendent ignorer qui il est.
Cette contribution volontaire ou imposée à la sécurité publique n'est pas sans contrepartie pour les entreprises : elle ouvre la voie à une atténuation de leur responsabilité civile et pénale en cas d'infraction commise sur leur infrastructure. Qui contrôle, surveille et bloque n'est pas complice de ce qu'il n'a pu ni vu ni toléré. Le modèle est celui de la diligence raisonnable (due diligence) : l'effort de prévention devient la limite de la responsabilité. Et donc aussi à la bonne foi dans la formation et l'exécution du contrat.
Sur le plan de la traçabilité financière, le règlement MiCA et les directives anti-blanchiment (AMLD) imposent déjà l'identification des flux en euros et en crypto-actifs.16 Les États disposent des outils pour identifier, en temps quasi-réel, les transactions finançant des activités illicites en ligne. L'activation effective de ces outils pour des finalités de sécurité numérique ne nécessite aucun développement législatif supplémentaire — seulement une instruction politique aux autorités compétentes.
III.B — Interopérabilité des identifiants et intelligence artificielle de détection
Le principe de l'identifiant numérique certifié — dont FranceConnect constitue une implémentation nationale et eIDAS le cadre européen — permet une authentification dont la sophistication technique est remarquable : il est possible de prouver qu'on est majeur sans révéler son nom, de prouver sa résidence sans révéler son adresse, d'attester d'une qualité professionnelle sans exposer son identité complète.17
Ce mécanisme désamorce l'argument central des opposants à l'identification en ligne, qui confondent délibérément identification et surveillance. L'identification certifiée, correctement architecturée, est une protection de la vie privée, non une atteinte : elle remplace les pseudonymes falsifiables et les données personnelles récoltées par les plateformes par une attestation formelle délivrée par une autorité publique de confiance, sans transfert de données superflues.
L'argument de la pseudo-liberté de l'anonymat mérite d'être confronté à ses propres limites. Dans l'espace physique, l'anonymat n'a jamais été absolu : on ne peut pas publier sous un faux nom dans un journal papier, vendre sous une identité fictive dans un commerce physique, ou s'exprimer sans responsabilité dans un espace public. La liberté d'expression a toujours été corrélée à la responsabilité de son auteur. Internet n'a pas créé une exception à ce principe : il a simplement rendu son application techniquement difficile — difficulté que les outils actuels ont précisément résolue.18
Quant à l'intelligence artificielle de détection de contenus, elle est déjà déployée par les plateformes elles-mêmes pour identifier et supprimer certaines catégories de contenus illicites (pédopornographie, terrorisme). Le hash-matching (empreinte numérique de contenus connus) et les modèles de classification sont des technologies matures. Leur déploiement systématique, sous contrôle judiciaire, pour d'autres catégories d'infractions documentées constitue une extension naturelle de l'existant, non une rupture technologique.19
Titre IV — Conséquences et portée
IV.A — Pour les États : la fin de l'excuse technique et l'engagement de responsabilité
Si les outils existent et sont opérationnels, le maintien de l'inaction cesse d'être une fatalité pour devenir un choix. Et un choix a des conséquences juridiques. La théorie de la faute par abstention, bien établie en droit de la responsabilité administrative, pourrait fonder des recours contre les États qui, disposant des moyens techniques d'empêcher ou de limiter les dommages causés par l'illicite numérique, s'abstiennent de les mobiliser.
Cette perspective n'est pas hypothétique. La Cour européenne des droits de l'homme a déjà jugé que des États pouvaient voir leur responsabilité engagée pour n'avoir pas protégé des individus contre des atteintes à leurs droits fondamentaux commises dans l'espace numérique (harcèlement en ligne, diffamation, violations de la vie privée). La généralisation de ce raisonnement à d'autres formes de dommages numériques n'est qu'une question de temps et de jurisprudence.
À cette responsabilité de protection s'ajoute une dimension fiscale que la doctrine ignore généralement, alors qu'elle constitue peut-être l'argument le plus concret en faveur de l'action régulatrice. La taxe sur la valeur ajoutée repose sur un principe simple : chaque échange économique crée de la valeur, et cette valeur est taxée. Or, si l'échange entre une plateforme et son utilisateur est qualifié de « gratuit », il n'y a fiscalement pas d'échange — pas de contrepartie, pas de base taxable, pas de TVA. L'État ne perçoit rien sur une transaction dont les plateformes déclarent elles-mêmes, dans leurs rapports SEC, qu'elles en extraient 230 dollars de valeur par utilisateur et par an en Amérique du Nord. Les revenus publicitaires numériques mondiaux ont atteint 740 milliards de dollars en 2024 — quasi intégralement générés par les données des utilisateurs, quasi intégralement non soumis à TVA au titre de l'échange avec l'utilisateur. La qualification de « service gratuit » constitue ainsi non seulement une fiction contractuelle au détriment du consommateur, mais un écueil fiscal massif au détriment de l'État. En d'autres termes : l'État qui s'abstient de réguler protège des acteurs qui le lèsent simultanément comme garant de l'ordre public et comme créancier fiscal.
Sur le plan de la légitimité démocratique, le maintien de la posture d'impuissance affaiblit durablement la confiance des citoyens dans leur État. Une institution qui se déclare impuissante à faire respecter ses propres règles perd progressivement son autorité normative. L'effet est particulièrement dommageable pour les jeunes générations, qui vivent une part significative de leur socialisation dans des espaces numériques où les règles de droit semblent ne pas s'appliquer.
IV.B — Pour les entreprises : responsabilité atténuée et valorisation publique
Pour les opérateurs qui s'engagent activement dans la mise en œuvre des outils de sécurité numérique, les conséquences sont doublement favorables. En termes de responsabilité juridique d'abord : l'entreprise qui démontre avoir déployé des mesures raisonnables de prévention et de détection bénéficie d'un régime de responsabilité atténué — voire d'une exonération partielle ou totale — pour les infractions commises malgré ces mesures. Le modèle est celui du bon père de famille numérique, appliqué à l'opérateur privé.20
En termes d'image publique ensuite : dans un contexte de montée des préoccupations sociétales liées à la sécurité en ligne — protection des mineurs, lutte contre la désinformation, prévention de la radicalisation — les entreprises qui s'engagent visiblement et vérifiablement dans la sécurité numérique bénéficient d'un avantage concurrentiel réel. La conformité active est, dans ce domaine comme dans celui de la durabilité environnementale, un actif de marque.
Cette logique de valorisation s'inscrit dans un mouvement plus large de responsabilité sociale des entreprises (RSE) qui, dans le domaine numérique, tarde à se formaliser avec la même rigueur que dans d'autres secteurs. La sécurité numérique devrait figurer, comme critère de reporting obligatoire, dans les déclarations de performance extra-financière prévues par la directive européenne CSRD.
IV.C — Pour le citoyen : la liberté réelle contre la liberté fictive
L'argument de la liberté a longtemps été mobilisé comme bouclier contre toute régulation numérique. Il mérite d'être retourné. La liberté réelle — celle que le droit a toujours cherché à protéger — est la liberté à l'abri de la coercition, de la manipulation et de l'abus. L'anonymat absolu en ligne ne protège pas cette liberté : il la menace, en permettant le harcèlement, la fraude, la manipulation informationnelle à grande échelle, sans recours effectif pour les victimes.21
La liberté fictive est celle que l'on invoque pour protéger le droit de publier sans responsabilité, de vendre sans identification, d'agir sans conséquence. Cette liberté-là n'a jamais existé dans aucun espace physique organisé par le droit. Son maintien en ligne n'est pas la défense d'un droit fondamental : c'est la perpétuation d'une anomalie historique née de l'incapacité technique initiale à appliquer le droit commun à un nouveau médium — incapacité désormais résolue.
La mise en place d'une identification certifiée, proportionnée et respectueuse des droits fondamentaux, combinée à des mécanismes de blocage ciblés et soumis à contrôle judiciaire, ne restreint pas la liberté d'expression : elle l'encadre dans les limites que le droit lui a toujours fixées. Elle permet à chaque citoyen d'exercer ses droits en ligne avec la même protection juridique que dans l'espace physique — ni plus, ni moins.
Conclusion — L'ordre public numérique n'attend que la volonté
L'étude comparée des outils disponibles et des cadres juridiques existants conduit à une conclusion sans ambiguïté : la régulation effective de l'espace numérique n'est pas une question de technologie. Les outils sont là. Le droit, dans ses grandes lignes, est là. Ce qui manque est une décision politique claire, assumée, et suffisamment protégée du lobbying des acteurs dont le modèle économique repose précisément sur l'absence de règles.
L'ordre public et les bonnes mœurs sont des notions juridiques séculaires qui ont survécu à tous les révolutions technologiques précédentes. Elles ont encadré la presse, régulé la radio, apprivoisé la télévision. Elles peuvent s'appliquer à Internet — à condition que les États cessent de feindre l'impuissance.
La vraie question n'est pas « peut-on réguler l'espace numérique ? » mais « qui a intérêt à ce qu'on ne le fasse pas ? ». La réponse à cette question est, en elle-même, un programme de recherche et d'action publique. Elle révèle que le consommateur — perçu par le droit comme bénéficiaire passif du marché — est en réalité un acteur concurrentiel complet, en rivalité structurelle avec la plateforme pour la captation de la valeur produite par l'échange. Il finance l'infrastructure terminale du réseau numérique (terminal, connexion, énergie), fournit les données qui constituent la matière première de la monétisation, et supporte le risque de l'anonymat imposé par le même opérateur qui mesure exactement ce qu'il lui extrait. Reconnaître le consommateur comme concurrent, c'est sortir du postulat de l'impuissance pour entrer dans celui de la responsabilité partagée — et rappeler que l'inaction des États profite précisément à ceux dont le modèle économique repose sur l'absence de règles.
Les générations qui grandissent aujourd'hui dans des espaces numériques sans droit effectif méritent mieux qu'une rhétorique de l'impuissance. Elles méritent un espace numérique régi par les mêmes principes que ceux que les sociétés démocratiques ont mis des siècles à construire dans l'espace physique : liberté, responsabilité, protection, justice.
Note conclusive — De la tolérance à la carence
On peut raisonnablement considérer que les États ont, dans un premier temps, accordé aux citoyens un délai d'adaptation face à l'irruption du numérique dans la vie sociale. Ce délai avait une justification : l'appropriation d'un nouveau médium demande du temps, et une régulation prématurée risque d'étouffer des usages légitimes encore en formation.
Ce temps est désormais révolu. Trente ans après la généralisation d'Internet, le numérique n'est plus un territoire d'exploration : c'est un espace de vie ordinaire, soumis aux mêmes exigences de vie en commun que l'espace physique. Face à des comportements qui, s'ils se produisaient dans la rue ou dans un commerce, donneraient lieu à une intervention immédiate des forces de l'ordre, les États ne peuvent plus invoquer la nouveauté du médium.
La tâche qui incombe désormais aux États n'est d'ailleurs pas, pour l'essentiel, de légiférer davantage. C'est de faire appliquer l'existant. Les textes sont là. Les outils sont là. Ce qui reste à construire, c'est la volonté politique de les mettre en œuvre — et l'honnêteté intellectuelle de reconnaître que l'inaction devient une carence fautive.
Perspective — La symétrie de l'impunité
Au-delà de l'inventaire des outils disponibles et de l'analyse de l'inaction des États, une observation s'impose en conclusion de cette analyse : le comportement des internautes et celui des États présentent une symétrie troublante. L'un publie sans identité, achète sans contrôle, agit sans responsabilité — parce que le système le lui permet. L'autre légifère sans appliquer, dispose d'outils sans les activer, constate sans sanctionner — pour les mêmes raisons structurelles.
Cette symétrrie n'est pas le fruit du hasard. Elle est le produit d'un espace délibérement maintenu vide, dans lequel l'anonymat de l'utilisateur en bas et l'inertie du souverain en haut se nourrissent mutuellement — au bénéfice exclusif de ceux qui prospèrent précisémment dans cet entre-deux.
Cette observation, qui dépasse le cadre de la présente analyse, fera l'objet d'un prochain article — La symétrie de l'impunité — États et internautes face au numérique illicite. Enfin, peut-être.
Auteur
Miguel Vidal Bravo-Jandia
Ingénieur — Master II Droit, UFR Montpellier I / Maîtrise es droit, Université Paris II Panthéon-Assas
Bibliographie
1Déclaration universelle des droits de l'homme, art. 3 ; Pacte international relatif aux droits civils et politiques (1966), art. 9 — https://www.ohchr.org/fr/instruments-mechanisms/instruments/international-covenant-civil-and-political-rights
2Conseil constitutionnel français, décision n° 2017-682 QPC du 15 décembre 2017 sur la sécurité des communications électroniques ; art. 34 de la Constitution du 4 octobre 1958 relatif au domaine de la loi.
3Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques (DSA) — https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022R2065
4Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique (DMA) — https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022R1925
5Règlement (UE) n° 910/2014 du 23 juillet 2014 sur l'identification électronique et les services de confiance (eIDAS) — https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32014R0910
6Communications Decency Act, 47 U.S.C. § 230 (1996) — https://www.law.cornell.edu/uscode/text/47/230
7M. Vidal Bravo-Jandia, « Communication Act - The Good Samaritan - Section 230 - A Policy Misclassified », DSE Review/CCG, 2025 — https://digital-synapse-exchange.com/publicInternetArticle/169
8Corée du Sud, loi sur la promotion de l'utilisation des réseaux d'information et de communication (정보통신망법), art. 44-5 — système d'identification réelle obligatoire 2007-2012 ; Cour constitutionnelle coréenne, 23 août 2012, décision 2010헌마47, annulation partielle pour atteinte disproportionnée à la liberté d'expression.
9Australie, Online Safety Act 2021, no. 76, 2021 — https://www.legislation.gov.au/Details/C2021A00076
10Singapour, Protection from Online Falsehoods and Manipulation Act (POFMA), no. 18 of 2019 — https://sso.agc.gov.sg/Acts/POFMA2019
11Brésil, Lei n° 12.965/2014 (Marco Civil da Internet) et Lei n° 14.197/2021 sur les crimes numériques — https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
12Standard EMV (Europay, Mastercard, Visa) — spécifications techniques disponibles sur https://www.emvco.com ; Directive (UE) 2015/2366 (DSP2) relative aux services de paiement — https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32015L2366
13Code civil français, art. 1171 (clauses abusives dans les contrats d'adhésion) ; art. 1343-5 (délais de paiement) ; Code de commerce, art. L. 442-6 (pratiques commerciales restrictives). V. également Cour de cassation, Ch. com., 3 novembre 1992, Bull. civ. IV, n° 338 (abus dans la détermination unilatérale du prix).
14Règlement (UE) 2023/1114 (MiCA) relatif aux marchés de crypto-actifs — https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32023R1114 ; Directive (UE) 2021/1237 (6e directive anti-blanchiment, AMLD6).
15Conseil d'État français, avis n° 405.459 du 15 novembre 2018 sur le projet de loi LOPMI ; rapport du Sénat n° 345 (2022-2023) sur la cybersécurité et la régulation des plateformes.
16Chine, règlement sur la gestion des services d'information Internet (2022) ; Russie, loi fédérale n° 149-FZ sur l'information, les technologies de l'information et la protection de l'information (2006, mod. 2022). Ces exemples sont cités à titre comparatif pour leur efficacité technique, indépendamment de leur contexte politique.
17M. Vidal Bravo-Jandia, « Le Mythe de la Gratuité » et « L'Écueil Fiscal », DSE Review, 2026 — https://digital-synapse-exchange.com/groupe/488
18Sur la notion de capture réglementaire : G. Stigler, « The Theory of Economic Regulation », Bell Journal of Economics (1971), p. 3-21. V. également M. Vidal Bravo-Jandia, « Notion et rôle de l'abus dans la détermination unilatérale du prix », Mémoire Master II, Université Paris II Panthéon-Assas / UFR Montpellier I, 1998 - Lien.
Vous souhaitez publier vos propres articles ?
Rejoignez la communauté Digital Synapse Exchange et partagez vos recherches.