Le Conseil fédéral est prié de répondre aux questions suivantes concernant la loi fédérale sur la protection des mineurs dans les secteurs du film et du jeu vidéo, en particulier en ce qui concerne les art. 8 et 20 :

1. A quels services à la demande et de plateforme la loi s’applique-t-elle exactement : aux services suisses, aux services étrangers qui s’adressent directement à la clientèle suisse ou à tous les prestataires ?

2. La loi s’applique-t-elle à tous les contenus ou seulement à ceux qui relèvent de la protection des mineurs ?

3. Des directives relatives au type de contrôle de l’âge sont-elles prévues ? Sera-t-il obligatoire, par exemple, de s’enregistrer et de montrer une pièce d’identité avant la première utilisation d’un service ? Ou une simple déclaration sera-t-elle suffisante ?

4. Comment les services qui proposent leur offre ou des parties de celle-ci sans exigence d’identifiant ou sans abonnement seront-ils traités ? Est-ce que cela ne sera plus autorisé à l’avenir ?

5. Comment la mise en oeuvre (notamment internationale) sera-t-elle assurée ?

6. Comment la protection des données sera-t-elle garantie, tant aux niveaux national qu’international, en particulier en ce qui concerne la prévention de la réutilisation et du détournement des données d’identification et des données personnelles à des fins de profilage ?

7. e-ID/SSI (Self-Sovereign Identity, identité dite souveraine) comme condition préalable à la loi :

a. Une identité électronique (e-ID) garantissant la protection des données et permettant un contrôle anonyme de l’âge est-elle une condition préalable à la mise en oeuvre de la loi ?

b. Dans le cadre de la corégulation, jusqu’à quand le secteur a-t-il le temps de faire des propositions pour ce qui est du contrôle de l’âge ?

c. Y a-t-il une synchronisation avec l’e-ID en cours de développement ?

d. A partir de quand les prestataires étrangers pourraient-ils eux aussi se servir de l’e-ID pour leurs services ?

e. Quid des prestataires étrangers qui ne veulent pas implémenter l’e-ID dans leurs systèmes ?

La loi fédérale sur la protection des mineurs dans les secteurs du cinéma et du jeu vidéo, récemment adoptée, a suscité de nombreuses controverses après coup. Les art. 8 et 20 peuvent en effet être interprétés de manière à ce qu’à l’avenir, l’utilisation de plateformes internet, spécialement dans les domaines des jeux et du contenu vidéo, soit soumise à une obligation d’identification, ce qui constituerait une atteinte massive et inutile à la vie privée des internautes.

Par la suite, une tentative de référendum a eu lieu, mais peu avant l’expiration du délai de récolte des signatures, l’Office fédéral des assurances sociales a fait une déclaration indiquant que le contrôle de l’âge prévu serait mis en oeuvre avec l’e-ID suisse (qui en cours de développement). Cette option pourrait certes clarifier ou désamorcer certains points soulevés, mais pas tous, loin de là. Ainsi, il ne faut pas s’attendre à ce que les petits prestataires étrangers mettent en oeuvre l’e-ID.

Même si le référendum n’a pas abouti, il est très important de clarifier à temps les questions encore en suspens et d’apporter des améliorations au projet si nécessaire.

1. La loi fédérale sur la protection des mineurs dans les secteurs du film et du jeu vidéo (LPMFJ ; FF 2022 2406) vise l’ensemble des acteurs qui rendent des films ou des jeux vidéo accessibles dans le cadre d’une activité économique (par ex. projections publiques, location ou vente). Concernant les services à la demande et les services de plateforme, la LPMFJ s’applique à tous les prestataires suisses ainsi qu’aux prestataires étrangers qui sont présents sur le marché suisse.

2. La LPMFJ s’applique également à l’ensemble des contenus proposés lors d’événements (projections de films, tournois de jeux vidéo, etc.), dans le commerce de détail (DVD, etc.) et sur les services à la demande. Tous les films et jeux vidéo doivent comporter une indication de l’âge minimal requis pour avoir le droit d’y accéder. Les contenus des services de plateforme, quant à eux, sont générés par les personnes qui utilisent ces plateformes. La loi ne prévoit pas d’obligation d’indiquer un âge minimal pour ces contenus. Par contre, les prestataires de ces services doivent prendre leurs propres mesures afin que les mineurs soient protégés des contenus non adaptés à leur âge.

3./4./7a.-e. Du point de vue de la protection des mineurs, une simple autodéclaration n’est pas suffisante. La loi ne précise pas au moyen de quels instruments le contrôle de l’âge doit être effectué. Il incombe aux branches de définir, dans leur réglementation respective relative à la protection des mineurs, quels systèmes de contrôle de l’âge sont autorisés dans le commerce en ligne de films et de jeux vidéo et sur les services à la demande. Cette approche repose sur le principe de la corégulation, autour duquel la loi est structurée. Il en va de même pour les offres accessibles sans inscription ou abonnement. L’utilisation de l’e-ID n’est pas imposée par la loi ; il s’agit toutefois d’une solution possible pour contrôler l’âge. Les acteurs de chaque secteur doivent fixer dans leur réglementation respective les règles et les systèmes reconnus en matière de contrôle de l’âge. Ils ont deux années après l’entrée en vigueur de la loi pour élaborer leur réglementation (une pour le secteur du film et une pour celui du jeu vidéo). Il n’est pas prévu de synchroniser cette procédure avec le développement de l’e-ID. Toutefois, si les branches proposent l’e-ID comme moyen de contrôle de l’âge et qu’il n’est pas encore prêt à l’entrée en vigueur de la loi, le Conseil fédéral pourra examiner l’éventualité d’une suspension de la mise en oeuvre de cette dernière jusqu’à ce que l’e-ID soit disponible, soit au plus tôt à la mi-2025.

Les prestataires de services de plateforme peuvent également s’inspirer des règles définies dans la réglementation de branche qui les concerne. Les branches elles-mêmes et la Confédération assurent conjointement la surveillance de la mise en oeuvre des prescriptions légales par les services en ligne. En cas d’infraction, la loi prévoit des amendes pouvant aller jusqu’à 40 000 francs.

5./6. Le traitement des données personnelles est par principe régi par la loi fédérale sur la protection des données (LPD ; RS 235.1). Cette loi, tant dans sa version actuelle que dans sa révision totale (nLPD ; FF 2020 7397), prévoit notamment le principe de finalité, d’après lequel les données personnelles ne peuvent être collectées que pour des finalités déterminées et reconnaissables pour la personne concernée, et doivent être traitées de manière compatible avec ces finalités (art. 6, al. 3, nLPD). Par ailleurs, les données utilisées doivent se limiter à celles nécessaires au regard des finalités du traitement (principe de proportionnalité ; art. 6, al. 2, nLPD).

Comme dans d’autres domaines liés à Internet, l’application du droit suisse aux acteurs internationaux représente une difficulté. Avec la mise en oeuvre de la motion Glättli (18.3306  » Renforcer l’application du droit sur Internet en obligeant les grandes plateformes commerciales à avoir un domicile de notification « ), des mesures ont été prises à différents niveaux afin de renforcer l’application du droit sur Internet. Lors de la révision totale de la LPD, des dispositions ont été ajoutées afin de contraindre les prestataires ayant leur siège à l’étranger à désigner un représentant en Suisse lorsqu’ils traitent des données personnelles concernant des personnes en Suisse, entre autres conditions (art. 14 s. nLPD). Fin 2021, le Conseil fédéral a en outre approuvé le rapport de l’OFCOM intitulé  » Intermédiaires et plateformes de communication  » (disponible sur www.ofcom.admin.ch > Numérisation et internet > Communication numérique > Intermédiaires et plateformes de communication) et chargé le DETEC de montrer si et comment les plateformes de communication doivent être réglementées. Se pose alors également la question de la réglementation applicable aux prestataires dont le siège est à l’étranger. Il faut toutefois garder à l’esprit que les prestataires étrangers sont déjà soumis à des réglementations semblables dans l’UE (par ex. avec le RGPD et la directive SMA).

L’expérience montre en outre que les grands prestataires internationaux, pour ne pas nuire à leur réputation, préfèrent agir dans les limites du cadre légal propre à chaque pays, et s’intéressent aux différentes réglementations nationales.