Le consensus politique concernant le Digital Services Act (DSA) a été annoncé le 23 avril dernier, mais les dispositions du Règlement sont encore en discussion. Le DSA a pour objet d’encadrer l’activité des entreprises qui, quel que soit leur lieu d’établissement, offrent des services numériques aux personnes établies dans l’Union Européenne. Les services numériques comprennent les services offrant une infrastructure de réseau, tels la fourniture d’accès à Internet, les services de stockage dans le Cloud ou sur le web (Amazon Web Services ou OVH Cloud) et les plateformes en ligne mettant en relation des utilisateurs, tels les places de marché (Amazon, Vinted), les magasins d’applications (Apple Store), les plateformes d’économie collaborative (Uber, AirBnB) et les réseaux sociaux (Facebook, YouTube, Twitter).
Le DSA va-t-il modifier en profondeur les règles applicables aux entreprises technologiques ?
Il est vrai que le DSA a d’abord été conçu pour réviser et mettre à jour les dispositions de la Directive E-Commerce 2000/31/CE du 8 juin 2000. Il reprend donc le principe d’immunité des prestataires de services numériques du fait des contenus illicites qu’ils hébergent dès lors que ceux-ci n’avaient pas connaissance de leur caractère illicite ou ont agi promptement pour les retirer ou rendre leur accès impossible lorsqu’ils en avaient connaissance. Mais le DSA nuance et complète ce principe par de nouvelles interdictions et des obligations très contraignantes.
Une première mouture du texte avait été proposée par la Commission le 15 décembre 2020. Dans l’ensemble, la version actuelle paraît relativement proche du texte initialement proposé par la Commission, même si quelques modifications substantielles y ont été ajoutées. On ne dispose d’ailleurs pas encore du texte final, qui doit faire l’objet d’une approbation officielle du Parlement et des Etats-Membres, et est encore âprement discuté.
Quelles obligations pèseront dorénavant sur les fournisseurs de services numériques?
Le DSA soumet les prestataires de services numériques a des obligations qui peuvent être résumées en trois points : transparence, lutte contre les contenus et pratiques illicites, protection des utilisateurs.
S’agissant de la transparence, les obligations sont lourdes : clarté des conditions générales, information sur les modalités des pratiques publicitaires et les paramètres de recommandation, précisions sur les traitements automatisés utilisés pour gérer les contenus, rapports réguliers sur les pratiques de modération.
Le DSA organise également les modalités d’une lutte effective contre les contenus illicites en ligne. Les utilisateurs devront pouvoir signaler facilement les contenus illicites et les plateformes devront traiter en priorité les signalements provenant de tiers de confiance (« trusted flaggers »). La lutte contre les contenus illicites devra toutefois se faire dans le respect des droits des utilisateurs, et notamment de leur droit à la liberté d’expression : les décisions de modération devront être motivées et les utilisateurs devront pouvoir former des recours internes ou porter leurs contestations devant un organisme de règlement alternatif des litiges.
Le texte comporte, enfin, des dispositions protégeant les utilisateurs. Sont ainsi proscrits les « pièges à utilisateurs » (« dark patterns ») destinés à manipuler les internautes en les incitant à réaliser une action de manière quasi-inconsciente (par exemple l’abonnement à un service). Le profilage fondé sur des données sensibles (opinions politiques, croyances religieuses, orientation sexuelle) est prohibé. Les mineurs ne pourront se voir présenter des publicités ciblées à partir de leurs données personnelles. Les utilisateurs des très grands moteurs de recherche ou plateformes devront avoir la possibilité de choisir des systèmes de recommandation non fondés sur le profilage.
Le texte vise, dans le même esprit, à protéger les consommateurs contre les pratiques des utilisateurs professionnels en responsabilisant les plateformes. Les plateformes servant d’intermédiaires (places de marché, plateformes d’économie collaborative) devront s’assurer de la fiabilité des utilisateurs professionnels de leur service et concevoir leur interface de manière à garantir le respect du droit de la consommation. Elles devront également faire des efforts raisonnables pour empêcher la vente de produits ou de services illicites et, grande nouveauté, seront-elles-mêmes responsables, en cas de pratiques illicites, dès lors qu’un consommateur moyen et raisonnablement bien informé pouvait croire que l’information, le bien ou le service était proposé par la plateforme ou par un utilisateur agissant sous son autorité ou son contrôle.
Sur tous ces points, les obligations des très grandes entreprises technologiques sont particulièrement renforcées. En effet, le DSA constitue une réglementation « asymétrique » au sens où les obligations imposées varient selon les caractéristiques des entreprises considérées. En particulier, les très grandes plateformes d’au moins 45 millions d’utilisateurs actifs par mois dans l’Union Européenne (« very large online platforms ») -auxquelles ont été ajoutés, durant la négociation, les très grands moteurs de recherche- sont soumises à des obligations spécifiques car elles présentent, du fait de leur taille, des risques particuliers. Ces acteurs bien particuliers devront donc évaluer les risques de leur activité et prendre des mesures visant à atténuer ces risques. Ils devront également désigner un « compliance officer » et faire l’objet, une fois par an, d’audits indépendants portant sur le respect des obligations prévues par le texte. Ils devront donner accès à leurs données aux chercheurs agréés travaillant sur les risques en ligne ainsi qu’aux autorités lorsque celles-ci en ont besoin pour s’assurer du respect du Règlement.
Les très grandes plateformes et moteurs de recherche pourront, enfin, être mis à contribution en cas de crise (guerre, attaque terroriste, catastrophe naturelle, pandémie). La guerre en Ukraine a, en effet, conduit les négociateurs à introduire dans le DSA un mécanisme de réaction aux crises qui permet à la Commission, sur recommandation du comité européen des services numériques, de demander aux très grandes plateformes de prendre des mesures spécifiques, comme la suppression de la propagande de guerre.
Les procédures de contrôle et de sanction prévues par le DSA garantissent-elles un respect effectif du Règlement par les entreprises technologiques ?
Le Règlement laisse, de manière générale, aux instances étatiques le soin de contrôler le respect de ses dispositions, conformément au principe du pays d’origine. Ce principe du pays d’origine veut que le droit applicable à une prestation de services soit celui de l’État membre dans lequel l’entreprise qui fournit la prestation a son siège statutaire, quel que soit l’État dans lequel a lieu l’opération.
Chaque Etat membre devra désigner un « Coordinateur national des services numériques », qui sera spécifiquement chargé de la bonne exécution du Règlement au niveau étatique. En France, il pourrait s’agir de l’ARCOM (Autorité de régulation de la communication audiovisuelle et numérique) mais plusieurs aspects de cette règlementation relèvent des compétences de la DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes). Les coordinateurs nationaux se réuniront au sein du « Comité européen des services numériques », qui constituera une instance consultative indépendante chargée d’épauler les coordinateurs nationaux et la Commission.
Le texte confie toutefois à la Commission la charge de contrôler l’activité des très grands moteurs de recherche et des très grandes plateformes de plus de 45 millions d’utilisateurs. Celle-ci pourra procéder directement à des investigations et des contrôles. Pour financer ce contrôle, les entreprises concernées devront payer à la Commission un droit (supervisory fee) qui pourra aller jusqu’à 0,05% de leur chiffre d’affaires mondial annuel. La Commission compte ainsi embaucher environ 150 experts chargés de contrôler l’application du Règlement, nombre qui peut toutefois apparaître faible, au regard notamment des moyens dont disposent les grandes entreprises technologiques.
Les régulateurs pourront prononcer des amendes allant jusqu’à 6% du chiffre d’affaires annuel de l’entreprise sanctionnée, plafond porté à 1% pour les violations mineures. En présence d’entreprises n’ayant pas respecté le DSA de manière répétée, une interdiction d’exercer pourrait être envisagée.
On estime que le DSA devrait effectivement entrer en vigueur d’ici au premier trimestre 2023. Les entreprises visées auront alors 15 mois pour se conformer à leurs nouvelles obligations mais les très grands moteurs de recherche et plateformes pourraient n’avoir que 4 mois. En France, cependant, une grande partie des mesures figurant dans le DSA, sont déjà en vigueur : la loi du 24 août 2021 a introduit par avance un certain nombre de dispositions dans la loi du 21 juin 2004 pour la confiance dans l’économie numérique (nouvel article 6-4 LCEN).