Réf. : Règlement n° 2022/2065, du 19 octobre 2022, relatif à un marché unique des services numériques (DSA) N° Lexbase : L7614MEQ
Lecture: 59 min
N5170BZI
Citer l'article
Créer un lien vers ce contenu
par Emmanuel Netter, Professeur de droit privé à l'université d'Avignon LBNC (EA 3788)
le 10 Mai 2023
Mots-clés : plateformes • réseaux sociaux • moteurs de recherche • modération • publicité
Le règlement sur les services numériques (ou Digital Services Act, DSA) remet à jour une large part de la directive sur le commerce électronique de 2000. Dans la catégorie déjà connue antérieurement des hébergeurs, on fait apparaître un régime particulier pour les « plateformes », qui se distinguent par le fait qu’elles stockent mais aussi diffusent des contenus à l’initiative des utilisateurs du service. Des règles plus exigeantes encore sont édictées s’agissant des « très grandes plateformes », auxquelles on adjoint les « très grands moteurs de recherche ». Il s’agit tout à la fois d’obliger ces acteurs à exercer la plénitude de leur fonction de modérateurs des contenus illicites, et d’encadrer ce pouvoir de censure, potentiellement dangereux pour les libertés publiques. Le DSA table pour cela sur des obligations nouvelles, en matière notamment de transparence des pratiques et de recours des utilisateurs. Quant aux obligations préexistantes, comme celle d’obéir aux injonctions judiciaires et administratives, elles profitent d’un net rehaussement des sanctions, plus spectaculaire encore que celui auquel avait procédé le RGPD. Les règles spécifiques aux très grands acteurs s’inscrivent quant à elles dans la logique contemporaine de « conformité », reposant sur des auto-diagnostics, des audits, une approche par les risques.
On pourra bientôt écrire que la directive sur le commerce électronique a été adoptée il y a un quart de siècle [1]. Dans des domaines du droit plus paisibles, cet âge n'aurait rien de vénérable. Mais il s'agit ici d'encadrer l'évolution de l'informatique, un domaine dans lequel ChatGPT vient de rappeler qu'il suffit de cligner des yeux pour qu'en les rouvrant, on contemple un monde ayant déjà bien changé. On sourit désormais en relisant, dans la directive e-commerce, les passages ordonnant aux États de rendre possible la conclusion de contrats par voie électronique [2].
Mais il est un domaine dans lequel le texte a parfois été jugé obsolète quelques années seulement après son entrée en vigueur : l'aménagement d'un régime de responsabilité spécifique des « prestataires intermédiaires » [3]. Il s'agissait de reconnaître le rôle passif joué par les acteurs techniques dans la circulation des contenus en ligne : ceux qui transportent l'information, la placent dans des mémoires « cache » pour la rendre plus rapidement et facilement accessible, et ceux qui l'hébergent. Ils n'étaient en effet que de simples véhicules, contrairement aux « éditeurs » de contenus, qui ont la maîtrise de leurs pages.
Dès 2003, cependant, une nouvelle catégorie d'acteurs apparut, qui s'insérait malaisément dans la distinction binaire entre éditeurs et hébergeurs : les réseaux sociaux, avec LinkedIn d'abord, Facebook et Twitter ensuite ; un mouvement qui s'est prolongé, dans un passé plus récent, avec Instagram ou TikTok [4]. On ne pouvait certes les considérer comme éditeurs de contenus : là où les titres de presse, par exemple, ont la maîtrise de leurs colonnes, y compris dans leur version numérique, les réseaux sociaux permettent la circulation de contenus conçus par des tiers, les utilisateurs. Mais un hébergeur traditionnel affiche la page web exactement telle qu'elle a été conçue par son client. Le réseau social, quant à lui, agence, ordonne, filtre, choisit, accélère et ralentit. Il offre aux internautes des outils d'interaction : boutons d'émotion ou de partage, commentaires. Il construit les « fils d'actualité » en choisissant, parmi les publications de l'ensemble des contacts, une sélection prétendument pertinente. Là où les hébergeurs les plus classiques se contentent de restituer l'information telle qu'on leur a confiée, ces « plateformes », comme on les appelle désormais, la retravaillent et la pétrissent – certes, la plupart du temps, par des moyens entièrement automatisés.
Ces difficultés, mises en lumière par les réseaux sociaux au sens strict, se retrouvent dans d'autres services, comme les plateformes d'hébergement et de diffusion de vidéos en masse (YouTube, Dailymotion), des magasins d'application, des places de marchés en ligne : toutes sortes de services à vocation « communautaire », dans lesquelles un intermédiaire met en scène les offres ou contenus de tiers.
Faute de mieux, c'est donc la qualification d'hébergeur qui a longtemps été retenue [5]. Le régime qui en découlait était plaisant pour le professionnel : la plateforme, dispensée de toute obligation générale de surveillance des contenus, pouvait se contenter, d'une part de retirer les contenus sur ordre d'un juge ou d'une autorité administrative compétente, d'autre part d'examiner les contenus qui lui étaient signalés par les utilisateurs, à charge pour elles de les retirer alors « promptement » s'ils étaient illicites [6]. Sur ce dernier point, le Conseil constitutionnel, chargé d'examiner la loi française transposant la directive européenne, précisa cependant que la plateforme n'engagerait sa responsabilité qu'en cas d'inertie face à un contenu « manifestement » illicite [7].
Dans les années 2010, cependant, s'imposa peu à peu l'idée que certaines plateformes exploitant des réseaux sociaux étaient excessivement laxistes. De là naquirent, en 2017, la loi allemande Netzwerkdurchsetzungsgesetz (dite NetzDG), et son avatar français, la loi de 2020 visant à lutter contre les contenus haineux sur internet [8]. Une analyse approfondie de ces deux textes sortirait du champ de cette étude, mais elle révélerait leur présupposé : la modération des plateformes devait être durcie [9]. La menace de fortes sanctions devait les conduire à censurer plus vite et davantage [10]. L'approche, grossière, négligeait presque entièrement le risque inverse : celui d'une atteinte disproportionnée à la liberté d'expression ainsi qu'au droit à l'information des internautes. La censure presque totale du texte français par le Conseil constitutionnel n'a, dès lors, surpris aucun observateur [11].
Évoquer brièvement ces ancêtres du DSA était nécessaire, tant le législateur européen semble soucieux de ne pas reproduire leurs erreurs. La censure des internautes y est regardée comme un mal nécessaire. L'emploi du bâillon devra être justifié, contrôlé, pourra faire l'objet de recours. Si le Digital Markets Act [12] vise à encadrer l'excès de pouvoir économique des plateformes, c'est leur incontestable influence sur les discours publics, au sens le plus large, que l'on cherche ici à cantonner dans de justes proportions.
Une approche spécifique sera réservée aux plus puissantes d'entre elles : les « très grandes plateformes » – auxquels on ajoute les « très grands moteurs de recherche » – sont les nouvelles agoras. Elles ne peuvent, à ce titre, être traitées comme des acteurs privés ordinaires. Un pouvoir exorbitant appellera des responsabilités exorbitantes : telle est du moins l'intention du législateur européen.
Mais il y a loin de la coupe aux lèvres, comme l'a montré le RGPD [13]. Une mauvaise gestion des dossiers transfrontaliers et du système de « guichet unique » a privé le texte de l'essentiel de son efficacité face aux géants du numérique. Le DSA tente d'en tirer les conséquences.
Sans aucunement prétendre à l'exhaustivité, il s'agira désormais de présenter les grandes lignes du texte, en suivant l'ordre de ses dispositions [14].
Il est utile de préciser au préalable que l'application du règlement sera confiée à des autorités administratives indépendantes appelées Coordinateurs pour les services numériques (CSN). En France, ce rôle sera joué par l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM). De la même façon que les CNIL sont regroupées au sein du Comité européen de la protection des données, les CSN seront regroupées au sein d'un Comité européen des services numériques. Observons encore, à titre liminaire, que l'essentiel du texte entrera en application le 17 février 2024, certaines dispositions prenant toutefois effet de manière anticipée [15].
Chapitre I. Dispositions générales
Champ d'application territorial [16]. Le DSA développera bien entendu des effets « extra-territoriaux ». Il s'appliquera en effet « aux services intermédiaires proposés aux destinataires du service dont le lieu d’établissement est situé dans l’Union ou qui sont situés dans l’Union, quel que soit le lieu d’établissement des fournisseurs de ces services intermédiaires ». Le considérant 7 évoque alors la nécessité d'un « lien étroit avec l'Union ». Ce lien étroit est lui-même défini comme « un lien qu’un fournisseur de services intermédiaires a avec l’Union résultant soit de son établissement dans l’Union, soit de critères factuels spécifiques, tels que : - un nombre significatif de destinataires du service dans un ou plusieurs États membres par rapport à sa ou à leur population; ou - le ciblage des activités sur un ou plusieurs États membres » [17].
Définitions. Les définitions utiles seront sollicitées au cours de l'étude. Relevons simplement celle de « contenu illicite » comme « toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit » [18]. L'univers de « l'illicite » est, ainsi qu'on pouvait s'y attendre, extrêmement vaste. Surtout, il relèvera essentiellement des droits nationaux. Si le DSA harmonise les procédures applicables aux plateformes, il ne faut donc pas s'attendre à ce qu'il nivèle entièrement le fond du droit applicable aux contenus. La tâche des professionnels internationaux restera donc difficile. Surtout, on peut se demander si le Conseil constitutionnel pourra maintenir sa jurisprudence, purement française, selon laquelle seul le « manifestement illicite » peut faire l'objet d'une décision unilatérale des plateformes. Le DSA est un règlement, et comme tel n'a pas à être transposé. Mais, comme le RGPD avant lui, il pourrait néanmoins rendre nécessaire une adaptation du droit national de niveau législatif donnant prise à un contrôle du Conseil. C'est alors la nature profonde de l'exercice de modération qui varierait selon le pays européen en cause, et l'harmonisation ne serait que de façade [19].
Chapitre II. Responsabilité des fournisseurs de services intermédiaires
Maintien du régime des intermédiaires techniques. Le DSA reprend les trois catégories issues de la directive e-commerce, autrefois regroupées en « prestataires intermédiaires », et désormais en « fournisseurs de services intermédiaires » (FSI).
Les « simples transporteurs » d'information ne sont pas responsables des contenus qu'ils véhiculent [20] . Les prestataires de « mise en cache » et les « hébergeurs » peuvent quant à eux se contenter, d'une part obéir aux ordres de retrait administratifs ou judiciaires, d'autre part de retirer « promptement » les contenus illicites dont ils auraient connaissance [21]. Cette connaissance est le plus souvent acquise à la suite d'une notification par un utilisateur, plus rarement par un travail non automatisé réalisé par un hébergeur sur un contenu [22].
Clause de « bon samaritain ». Constitue en revanche une nouveauté la règle selon laquelle un FSI ne perd pas automatiquement le bénéfice des exemptions de responsabilité édictées plus haut, du seul fait qu'il réaliserait des « enquêtes d'initiative volontaire » [23]. Dit autrement, si un professionnel recherche activement des contenus illicites avant même qu'ils lui aient été signalés, il agit dans l'intérêt général, et il convient de ne pas l'en dissuader. Qu'il sorte de l'attitude habituellement passive des intermédiaires ne doit pas se retourner contre lui. En pratique, ces recherches spontanées de l'illicite occupent une place extrêmement importante. Dans une conférence de novembre 2022, le directeur des affaires publiques de YouTube France révélait que 94 % des vidéos « contraires au règlement » (de la plateforme) étaient détectées grâce à des techniques d'IA reposant sur l'apprentissage machine, un tiers d'entre elles étant retirées avant même d'avoir été vues par un utilisateur [24].
Comme notre collègue Florence G'sell l'avait très rapidement relevé, la version française souffre d'un grave défaut de traduction qui lui donne le sens inverse de ce celui retenu dans les autres langues [25].
Absence d'obligation générale de surveillance [26]. Cette absence, qui n'est pas nouvelle, aurait été plus logiquement placée avant la clause de bon samaritain, la possibilité d'enquêtes d'initiatives volontaires constituant en effet une sorte de tempérament à ce principe.
Injonctions d'agir contre des contenus illicites [27]. Avant même le DSA, dans les cas où un FSI n'obéissait pas à « une injonction d’agir contre un ou plusieurs éléments spécifiques de contenu illicite, émise par les autorités judiciaires ou administratives nationales compétentes », il est certain que chaque droit national disposait déjà d'un système de sanctions. Pourquoi y revenir alors dans le présent règlement ? Certainement afin de profiter de la puissance inédite des amendes administratives fulminées par le DSA : jusqu'à 6 % du chiffre d'affaires mondial annuel, soit une augmentation de moitié par rapport au standard auquel nous avait habitués le RGPD [28]. Il faudra pour cela que l'injonction comprenne un certain nombre de mentions obligatoires, énumérées par le texte. Le FSI devra alors rendre compte « dans les meilleurs délais » des suites qu'il aura données.
Injonctions de fournir des informations [29]. Le texte associe la même puissance de feu dissuasive à un autre type d'injonctions, celles qui visent à obtenir des informations « concernant un ou plusieurs destinataires spécifiques du service ». On songe par exemple à l'adresse IP utilisée lors de l'inscription [30].
Chapitre III. Obligations de diligence pour un environnement en ligne sûr et transparent
Les obligations issues de ce chapitre sont distribuées sur quatre catégories qui fonctionnent, selon la métaphore qu'on préférera, comme des poupées gigognes ou comme des cercles concentriques. Tous les acteurs visés sont des FSI. Certains d'entre eux sont également des hébergeurs. Certains des hébergeurs sont, de surcroît, des plateformes. Certaines de ces plateformes sont de « très grandes plateformes » - l'irruption des « très grands moteurs de recherche » à ce dernier niveau bousculant tout à coup le bel ordonnancement.
Section 1. Dispositions applicables à tous les fournisseurs de services intermédiaires
Points de contact. Qu'ils soient ou non établis dans l'Union, les FSI doivent désigner deux « points de contact unique ». Le premier est destiné aux autorités : celles des États, auxquelles s'ajoute la Commission ainsi que le Comité européen des services numériques [31]. Le deuxième point de contact est destiné aux utilisateurs du service. Il doit permettre une communication « conviviale », par voie électronique, et laisser aux utilisateurs un choix de moyens [32].
Représentants légaux. Sont ici concernés les seuls FSI « qui n'ont pas d'établissement au sein de l'Union ». L'hypothèse n'est pas d'école, y compris pour de très grands services : ce n'est qu'en 2020 que TikTok a ouvert son siège européen, évidemment à Dublin, ce qui lui permettra des échanges fluides avec ses consœurs américaines[33]. Pour les sociétés qui n'auraient pas encore pris pied dans un État membre, il convient de désigner une personne physique ou morale qui, elle, y est située, « pour agir comme leur représentant légal » [34]. Les conséquences sont lourdes : ce représentant « peut être tenu pour responsable du non-respect des obligations prévues dans le présent règlement » [35].
Conditions générales. En droit français et européen, le contrat a certes force obligatoire. Mais dans la tradition juridique américaine, dont sont baignées les principales plateformes de l'univers numérique, les conditions générales encadrant l'utilisation du service semblent revêtir une importance plus grande encore. Dans les giga-contrats d'adhésion réside une source importante du pouvoir de ces acteurs, et le DSA tente d'en tirer des conséquences.
Il s'agit, d'abord, d'imposer une plus grande transparence de ces documents, qui devront être rédigés « dans un langage clair, simple, intelligible, aisément abordable et dépourvu d’ambiguïté ». Il faudra en particulier y décrire les pratiques de modération, en soulignant la place respective des êtres humains et des automatismes dans les procédures, et en décrivant les possibilités de recours internes [36].
Il s'agit, ensuite, de restituer aux conditions générales leur juste place dans la hiérarchie des normes. Aussi faudra-t-il tenir compte « des droits fondamentaux des destinataires du service, tels que la liberté d’expression, la liberté et le pluralisme des médias et d’autres libertés et droits fondamentaux tels qu’ils sont consacrés dans la Charte ». Il ne devrait plus être possible à Facebook d'imposer sa vision très particulière de la pornographie en censurant « l'origine du monde » de Gustave Courbet, ou des campagnes de sensibilisation au cancer du sein [37].
Des dispositions spécifiques aux très grandes plateformes et très grands moteurs imposent, d'une part que soit rédigé « un résumé des conditions générales », « concis, facilement accessible » [38], d'autre part que les conditions soient publiées dans toutes les langues officielles de tous les États membres où est déployé le service [39].
Rapport de transparence des FSI. À plusieurs reprises, le législateur européen fonde ses espoirs sur une meilleure transparence des pratiques des acteurs, qui passe par la mise à disposition au public d'un rapport annuel. Ce premier niveau mélange, de façon inutilement complexe, des exigences applicables à tous les FSI, mais aussi une obligation qui pèse sur les seuls hébergeurs – pourtant régis par la section suivante du règlement [40]. Les FSI doivent publier des informations relatives aux injonctions d'agir ou d'informer reçues des autorités judiciaires et administratives ; des statistiques relatives à leur activité de modération d'initiative propre ; une description des outils de modération automatisée des contenus. Les hébergeurs, quant à eux, doivent dévoiler des données relatives aux notifications qui leur ont été adressées par les utilisateurs, ainsi qu'au sort qui leur a été réservé : une obligation qui ne se comprend qu'après lecture de l'article 16, dont il va être question à présent.
Section 2. Dispositions supplémentaires applicables aux fournisseurs de services d'hébergement, y compris les plateformes en ligne
Mécanismes de notification et d'action [41]. A déjà été soulignée l'importance croissante des initiatives propres des hébergeurs, reposant sur des outils automatisés, dans la modération contemporaine des contenus en ligne. Il ne faut toutefois pas négliger le circuit plus classique dans lequel un utilisateur repère un contenu qu'il pense être illicite, et le soumet au professionnel pour examen. Le DSA impose à cette fin des mécanismes « faciles d'accès et d'utilisation », et précise quelles mentions obligatoires la notification doit contenir. Il faudra ainsi préciser les « raisons pour lesquelles le particulier ou l’entité allègue que les informations en question sont du contenu illicite ». On ne sait s'il suffira, comme c'est souvent le cas dans la pratique actuelle, de choisir un motif générique au sein d'un menu déroulant, ou s'il est nécessaire d'offrir au signalant un champ libre lui permettant de commenter sa notification. Il faudra également joindre « une déclaration confirmant que le particulier ou l’entité soumettant la notification pense, de bonne foi, que les informations et les allégations qu’elle contient sont exactes et complètes » : nous verrons plus loin quelles sont les conséquences d'une série de notifications de mauvaise foi. Le FSI ayant reçu la notification devra la traiter « en temps opportun, de manière diligente, non arbitraire et objective », et tenir informé l'auteur du signalement de sa décision.
Exposé des motifs [42]. Quiconque a déjà été témoin de la censure d'un contenu sur un réseau social, au motif pour le moins évanescent d'une « contrariété avec les règles de la communauté », sans davantage de précision, comprendra tout l'intérêt de cet article du DSA. Désormais, une action de modération devra être précisément justifiée.
Le texte commence par définir la décision de modération, et en retient une acception large. C'est un apport important. Sont évidemment concernées les suspensions de comptes et retraits purs et simples de publication, mais aussi la simple dégradation de visibilité. Sont même incluses les mesures restreignant « les paiements monétaires ». Cette dernière formule semble pouvoir englober à la fois l'exclusion d'un utilisateur d'un programme de « monétisation » de ses contenus (par partage des revenus publicitaires associés), et l'impossibilité pour l'utilisateur d'une place de marché de disposer de son solde créditeur auprès d'elle.
Dans toutes ces situations, les restrictions du service appelleront donc une explication détaillée, le règlement en précisant les mentions obligatoires. La première consiste à informer précisément l'utilisateur des mesures prises contre lui. Cela sonne comme une évidence, mais les controversées techniques de « shadow banning » sont précisément utilisées par des réseaux sociaux pour dégrader subrepticement la visibilité de certaines publications, voire de certains comptes, sans les en avertir, ce qui permet de faire pratiquement disparaître des contenus sans avoir à assumer une suppression en bonne et due forme [43]. Pour le surplus, la motivation doit comprendre les éléments factuels et juridiques sur lesquels repose la décision, ce qui impliquera notamment de citer la partie exacte des conditions générales, ou les références précises de la loi, invoquées au soutien de la restriction.
Notification des soupçons d'infraction pénale [44]. S'il était en possession d'informations « conduisant à soupçonner qu’une infraction pénale présentant une menace pour la vie ou la sécurité d’une ou de plusieurs personnes a été commise, est en train d’être commise ou est susceptible d’être commise », le FSI devrait prévenir les autorités de l’État concerné. Une telle appréciation sera souvent délicate : est-ce qu'un harcèlement scolaire en meute, ou l'organisation d'un rodéo urbain, est susceptible de présenter « une menace pour la vie » ?
Section 3. Dispositions supplémentaires applicables aux fournisseurs de plateformes en ligne
Définition. Une plateforme en ligne est une variété particulière d'hébergeur : celle qui, à la demande du destinataire du service, peut non seulement stocker, mais aussi diffuser au public des informations [45].
Système interne de traitement des réclamations [46]. L'analogie est peu rigoureuse techniquement, mais néanmoins éclairante : il s'agit de permettre aux utilisateurs de « faire appel » d'une première décision de modération prise par la plateforme, y compris une décision de ne pas modérer, pendant six mois après que cette décision a été prise. Ce recours peut être introduit par voie électronique, et il est gratuit. La nouvelle décision est elle aussi motivée. Un point important : là où la décision initiale pouvait être prise (et motivée) de façon entièrement automatisée, la décision sur recours doit obligatoirement faire intervenir des êtres humains [47].
Règlement extrajudiciaire des litiges [48]. Cette procédure peut s'ajouter ou se substituer au système interne de traitement des réclamations. Autrement dit, il n'est pas obligatoire d'avoir préalablement « fait appel » auprès de la plateforme pour être autorisé à y recourir. Les utilisateurs ayant subi des décisions de modération, et ceux qui à l'inverse ont soumis des notifications restées infructueuses pourront se tourner vers un « organe de règlement extrajudiciaire des litiges ». Il est une sorte de médiateur amiable : il est expressément précisé qu'il « n’a pas le pouvoir d’imposer aux parties un règlement du litige contraignant ».
Qui pourra se proposer pour assurer ces médiations ? Le règlement brosse un portrait assez général : c'est un organe impartial, compétent, rapide, capable d'agir entièrement en ligne. C'est au coordinateur des services numériques de certifier les candidats à la fonction, pour une durée de cinq ans renouvelable.
Les frais suscités par la médiation sont supportés par la plateforme à chaque fois qu'elle perd, et même lorsqu'elle l'emporte, lorsque l'utilisateur était néanmoins de bonne foi. De surcroît, « Les frais facturés par l’organe de règlement extrajudiciaire des litiges aux fournisseurs de plateformes en ligne pour le règlement du litige sont raisonnables et n’excèdent en aucun cas les coûts engagés par l’organe ». Dès lors, le secteur privé à but lucratif n'a pas vocation à s'intéresser à cette fonction. Il est précisé que « Les États membres peuvent établir des organes de règlement extrajudiciaire des litiges », ou soutenir des acteurs privés, qui seront vraisemblablement de nature associative.
Signaleurs de confiance [49]. Une plateforme comme YouTube dispose depuis longtemps d'un programme de « trusted flaggers » [50]. Il s'agit d'examiner prioritairement les notifications de ces « super-utilisateurs ». On trouve dans ce programme d'initiative volontaire des agences gouvernementales, des associations. Par le passé, pouvaient également candidater des utilisateurs ordinaires bénéficiant d'un historique de plusieurs années de notification « de grande qualité », c'est-à-dire débouchant presque systématiquement sur une action de modération. L'idée est bonne. L'un des défauts majeurs de la loi Avia, ayant conduit à sa censure presque totale par le Conseil constitutionnel, était l'obligation de retirer en moins de 24 heures tout contenu manifestement illicite ayant fait l'objet d'un signalement. Cela aurait nécessairement conduit à examiner dans ce délai toutes les notifications, y compris les plus fantaisistes, comme celles soumises par un compte ad hoc créé la veille [51].
Le DSA reprend à son compte cette idée selon laquelle tous les signaleurs ne se valent pas nécessairement. Les « entités » suffisamment expertes et indépendantes peuvent demander au CSN de l’État dans lequel elles sont établies à bénéficier du statut de signaleur de confiance. Si elles l'obtiennent, leurs notifications bénéficient d'un coupe-file et donnent lieu à des décisions « dans les meilleurs délais ».
Rien ne semble interdire aux plateformes de maintenir, par ailleurs, leur propre programme de signaleurs de confiance « hors DSA ». Pour peu qu'elles aient effectivement examiné en tout premier lieu les notifications des acteurs labellisés par les CSN, rien ne les empêche de discriminer au sein du reliquat de signalements. D'ailleurs, même hors d'un programme explicite de « trusted flaggers », on peut imaginer donner une priorité plus élevée à des signalements effectués par des comptes fiables et anciens.
Mesures de lutte et de protection contre les utilisations abusives [52]. Il s'agit ici d'autoriser la suspension de comptes d'utilisateurs faisant un usage « abusif » de la plateforme. Cela renvoie à deux comportements distincts : la fourniture régulière de contenus « manifestement illicites » et la fourniture régulière de notifications « manifestement infondées ». Ces suspensions ne sont pas définitives, mais n'ont lieu que pour une « période raisonnable ». Elles ne sont pas non plus arbitraires : elles doivent tenir compte d'un ensemble de critères, listés, dont la proportion de comportements fautifs par rapport à l'ensemble des comportements adoptés, et la gravité des manquements. Une fois encore, le règlement ne se préoccupe pas seulement d'un potentiel laxisme des plateformes : il craint également leur excessive rigueur, et met en place des garde-fous.
Rapport de transparence des plateformes [53]. Rappelons que les acteurs dont il est ici question, avant d'être des plateformes, sont des FSI : à ce titre, ils devaient déjà rédiger un rapport de transparence dont le contenu a été précisé plus haut. À présent, en tant que plateformes, ils doivent, selon une logique cumulative, adjoindre à leur rapport des informations supplémentaires : le nombre de litiges adressés à des organes de règlement extrajudiciaire ainsi que le sort qui leur a été réservé ; le nombre de suspensions de comptes pour comportements abusifs.
Le même article pose une obligation distincte, qui devait être respectée avant le 17 février 2023, et qui doit conduire ensuite à une actualisation tous les six mois : la publication de « la moyenne mensuelle des destinataires actifs du service dans l’Union ». Le champ d'application englobe tout à coup, au-delà des seules plateformes, tous les « moteurs de recherche ». Un moteur de recherche en ligne est défini comme « un service intermédiaire qui permet aux utilisateurs de formuler des requêtes afin d’effectuer des recherches sur, en principe, tous les sites internet ou tous les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot-clé, d’une demande vocale, d’une expression ou d’une autre entrée, et qui renvoie des résultats dans quelque format que ce soit dans lesquels il est possible de trouver des informations en rapport avec le contenu demandé » [54]. La raison de cette extension est simple : cette obligation, qui entre en application plus tôt que le DSA dans son ensemble, permettra de faire apparaître les « très grands moteurs de recherche » au côté des « très grandes plateformes », afin de les soumettre, on le verra plus loin, à un corps de règle particulièrement exigeant.
Conception et organisation des interfaces en ligne [55]. Le règlement reconnaît ici l'importance d'un problème qui, dans un domaine voisin, préoccupe de plus en plus les autorités de protection des données : les interfaces trompeuses, mieux connues parfois sous leur dénomination anglaise de dark patterns. Il est posé ici, de façon très générale, que « Les fournisseurs de plateformes en ligne ne conçoivent, n’organisent ni n’exploitent leurs interfaces en ligne de façon à tromper ou à manipuler les destinataires de leur service ou de toute autre façon propre à altérer ou à entraver substantiellement la capacité des destinataires de leur service à prendre des décisions libres et éclairées ». Afin de tenter d'objectiver la notion d'interface trompeuse, ce qui est un exercice difficile, la Commission européenne pourra, comme le Comité européen de la protection des données l'a fait avant elle, adopter des lignes directrices [56].
Publicité sur les plateformes en ligne [57]. Dès 2000, la directive sur le commerce électronique prévenait que « la communication commerciale doit être clairement identifiable comme telle » [58]. Le règlement sur les services numériques reprend et développe cette exigence. Le destinataire du service devra « se rendre compte que les informations sont de la publicité, y compris au moyen de marquages bien visibles », mais aussi savoir qui le message cherche à promouvoir et, pour le cas où il s'agirait d'une personne distincte de la précédente, qui a payé pour cette campagne promotionnelle.
Plus concrètement, il est prévu que les destinataires du service disposent d'outils leur permettant de signaler que leur contenu constitue une communication commerciale. Une telle disposition s'adresse en bonne partie au petit monde des « influenceurs », dont on sait qu'ils vivent souvent du placement de produits et de services, sans toujours faire apparaître de manière appropriée les liens d'intérêts qui les amènent à conseiller leur « communauté ». Une récente proposition de loi adoptée en première lecture par l'Assemblée nationale témoigne de la même préoccupation [59].
Le DSA prévoit enfin que la publicité reposant sur profilage au sens du RGPD – c'est-à-dire, pour aller vite, la publicité ciblée - ne puisse reposer sur des critères de l'article 9 dudit règlement. Rappelons que ce texte renvoie à un traitement de données « qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ». Il s'agit d'une des premières dispositions européennes visant à encadrer spécifiquement le secteur de la publicité ciblée, le RGPD n'approchant la question que par son droit commun [60]. Relevons qu'une publicité pourrait se fonder sur des critères n'apparaissant pas dans cette liste et constituer néanmoins une discrimination illicite au regard d'autres règles, notamment de droit national . Ainsi l'appartenance au genre masculin ou féminin ne relève-t-elle pas de l'article 9 du RGPD ; on n'accepterait pourtant pas qu'une offre d'emploi apparaisse, sur une plateforme en ligne, uniquement au profit des utilisateurs masculins.
Transparence du système de recommandation [61]. La personnalisation extrême des services en ligne participe à leur agrément. Mais elle présente aussi l'inconvénient, maintes fois dénoncé, d'enfermer les utilisateurs dans des « bulles de filtres » : les algorithmes ayant appris à les connaître sur la base de leur activité passée, ils leur proposeront toujours plus de ce qu'ils ont déjà lu, regardé, écouté ou acheté[62]. Les goûts, les opinions politiques, les centres d'intérêt risquent de ne plus progresser. L'attirance pour les opinions extrêmes, le complotisme, la radicalité religieuse sont renforcés. Le risque final est celui de la fragmentation de la société. Un autre aspect de la question concerne non pas les consommateurs de contenus, mais les producteurs, qui voudraient comprendre par exemple pourquoi certaines de leurs vidéos sont recommandées aux utilisateurs de YouTube et pas d'autres : la différence en nombre de vues est spectaculaire, et par conséquent les revenus lorsqu'il s'agit de contenus « monétisés ».
Pour toutes ces raisons, le règlement impose aux plateformes de dévoiler, dans leurs conditions générales, « les principaux paramètres utilisés dans leurs systèmes de recommandation, ainsi que les options dont disposent les destinataires du service pour modifier ou influencer ces principaux paramètres ». Lorsque plusieurs formules de pondération des critères sont disponibles, l'utilisateur est libre d'en changer à tout moment.
Relevons que la notion de « recommandation », dans le DSA, est très large. On qualifie en effet de système de recommandation « un système entièrement ou partiellement automatisé utilisé par une plateforme en ligne pour suggérer sur son interface en ligne des informations spécifiques aux destinataires du service ou pour hiérarchiser ces informations, notamment à la suite d’une recherche lancée par le destinataire du service ou en déterminant de toute autre manière l’ordre relatif ou d’importance des informations affichées » [63]. Une telle définition peut englober, outre des résultats de recherche, le fil d'actualités de l'utilisateur, qui s'affiche au lancement du service et non suite à une recherche, dans la mesure où il s'agit d'une sélection d'un sous-ensemble des contenus postés par les contacts, ou bien encore la proposition de visionner un contenu supplémentaire à la suite de celui qui avait été initialement choisi par l'internaute.
Protection des mineurs en ligne [64]. Le DSA exige tout d'abord, de façon extrêmement générale, que « Les fournisseurs de plateformes en ligne accessibles aux mineurs mettent en place des mesures appropriées et proportionnées pour garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service ». La démarche d'auto-diagnostic suivie de l'adoption de mesures appropriées, typique de la compliance, est familière notamment aux lecteurs du RGPD.
Plus spécifiquement, ensuite, toute publicité ciblée – et non pas seulement celle fondée sur des données sensibles – sera interdite lorsque l'utilisateur est un mineur. À cet égard, la plateforme ne peut visiblement se reposer uniquement sur les déclarations unilatérales de l'utilisateur, puisque le règlement évoque la situation dans laquelle les plateformes « ont connaissance avec une certitude raisonnable que le destinataire du service est un mineur ». Il est toutefois précisé immédiatement après que « Le respect des obligations énoncées dans le présent article n’impose pas aux fournisseurs de plateformes en ligne de traiter des données à caractère personnel supplémentaires afin de déterminer si le destinataire du service est un mineur ». Le DSA se distingue ici du RGPD, qui pose des seuils d'âge stricts déclenchant des régimes juridiques très particuliers, posant la question délicate des mécanismes de vérification d'âge respectueux de la vie privée [65].
Section 4. Dispositions supplémentaires applicables aux fournisseurs de plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels
Champ d'application. Les dispositions situées dans cette section s'adressent aux plateformes dont la raison d'être est de provoquer la rencontre entre des clients et des professionnels. Elles ne devraient donc pas s'appliquer, en principe, à de faux intermédiaires comme Uber, qui sont en réalité les prestataires du service demandé par le client, et qui emploient des salariés [66]. Pourraient en revanche être concernées, par exemple, des places de marché en ligne, ou des plateformes de mise en relation avec des professionnels du logement ou du transport, voire des sites de financement participatif ouverts à des porteurs de projets professionnels.
Traçabilité des professionnels [67]. Les plateformes ont ici l'obligation de recueillir un ensemble d'informations essentielles relatives aux professionnels qu'elles comptent présenter à la clientèle. Mieux : la plateforme « déploie tous ses efforts pour évaluer si les informations [...] sont fiables et complètes ». La règle est importante, tant il est fréquent que les intermédiaires de l'économie numérique se comportent comme si leur seul devoir était de mettre à disposition un espace de rencontre, ce qui se produit ensuite entre les parties intermédiées n'étant plus de leur ressort.
Le règlement prévoit par ailleurs que « si le fournisseur d’une plateforme en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels refuse d’autoriser un professionnel à utiliser son service en vertu du paragraphe 1 ou suspend la fourniture de son service en vertu du paragraphe 3 du présent article, le professionnel concerné a le droit d’introduire une réclamation conformément aux articles 20 et 21 du présent règlement », ce qui converge en partie avec les dispositions du règlement dit « platform to business » [68].
Section 5. Obligations supplémentaires de gestion des risques systémiques imposées aux fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne
Champ d'application [69]. Les dispositions qui vont suivre concernent des acteurs qui sont cumulativement des FSI, des hébergeurs, des plateformes en ligne et de « très grandes plateformes en ligne » (ci-après TGP). Elles s'appliquent par ailleurs à un autre type d'acteur, le très grand moteur de recherche (TGM), qui n'est pas concerné par les subdivisions précédentes du règlement et qui fait son apparition à ce moment du règlement – si l'on met à part l'obligation de publier la moyenne mensuelle des destinataires actifs du service.
Ces deux catégories de destinataires de la règle seront concernées par la section à suivre si leur nombre d'utilisateurs mensuel moyen est supérieur à 45 millions, un chiffre qui évoluera régulièrement à l'avenir, par le jeu d'actes délégués adoptés par la Commission, de façon à toujours représenter environ 10 % de la population de l'Union.
Évaluation des risques [70]. Toute cette section du règlement est baignée par la logique si contemporaine de « conformité », qui commence généralement par une obligation faite aux destinataires de la règle de procéder à leur auto-diagnostic. Cet exercice d'introspection sera particulièrement exigeant ici. Les TGP et TGM « analysent et évaluent de manière diligente tout risque systémique au sein de l’Union découlant de la conception ou du fonctionnement de leurs services et de leurs systèmes connexes, y compris des systèmes algorithmiques, ou de l’utilisation faite de leurs services ».
Le règlement présente ensuite une liste de risques systémiques, vertigineuse alors même qu'elle se présente comme non exhaustive : la diffusion de « contenus illicites », « tout effet négatif réel ou prévisible pour l’exercice des droits fondamentaux », « tout effet négatif réel ou prévisible sur le discours civique, les processus électoraux et la sécurité publique », « tout effet négatif réel ou prévisible lié aux violences sexistes et à la protection de la santé publique et des mineurs et les conséquences négatives graves sur le bien-être physique et mental des personnes ». Un vaste programme.
Dans leur évaluation, les TGP et TGM doivent de plus prendre en compte des facteurs aussi variés que « la conception de leurs systèmes de recommandation et de tout autre système algorithmique pertinent », leurs « systèmes de modération des contenus », leurs « conditions générales applicables et leur mise en application », les « systèmes de sélection et de présentation de la publicité ». Il faut encore y ajouter les énigmatiques « pratiques du fournisseur en matière de données ».
Cette évaluation doit être documentée – encore un classique de la compliance. Les justificatifs l'ayant fondée, qui doivent être conservés trois ans, peuvent être demandés par la Commission et le CSN de l’État membre d'établissement. Il semble pourtant qu'un envoi systématique aux pouvoirs publics aurait été justifié, s'agissant d'acteurs aussi cruciaux qu'ils sont peu nombreux.
Atténuation des risques [71]. Il n'aurait pas été très utile d'exiger une cartographie rigoureuse des risques systémiques s'il ne s'était agi, ensuite, d'obliger les TGP et TGM à mettre en place « des mesures d’atténuation raisonnables, proportionnées et efficaces ». Suit à nouveau une longue liste indicative de mesures possibles, qui vont de l'adaptation des conditions générales à celle des algorithmes, en passant par l'amélioration de la coopération avec les signaleurs de confiance ou les autres plateformes.
Chaque année, le comité regroupant les CSN et la Commission publieront un rapport présentant au public les risques systémiques les plus récurrents, et les meilleures pratiques mises en place pour les contrecarrer.
Mécanisme de réaction aux crises [72]. Un texte spécifique est dédié à la situation dans laquelle « des circonstances extraordinaires entraînent une menace grave pour la sécurité publique ou la santé publique dans l’Union ou dans des parties importantes de l’Union ». Si l'on songe immédiatement à la pandémie de coronavirus et au torrent de désinformation qu'elle a suscité en ligne, c'est toute la gamme des fléaux environnementaux, politiques et sanitaires en train de s'abattre sur la planète qui pourra ainsi être appréhendée dans ses dimensions numériques.
La procédure devra débuter par une recommandation du Comité européen des services numériques. La Commission pourra s'en saisir. Elle n'aura pas le pouvoir de prendre elle-même des mesures ayant des effets sur le fonctionnement des TGP et TGM, mais pourra « exiger » de ces acteurs qu'ils entreprennent eux-mêmes des actions adéquates pour évaluer la contribution de leurs services aux risques suscités, et pour réagir de façon « spécifique, efficace et proportionnée ». Si ces actions sont insuffisantes, la Commission pourra obliger les plateformes à les réexaminer.
Audit indépendant [73]. Au moins une fois par an, les TGP et TGM devront financer un audit par un tiers indépendant, visant notamment à évaluer leur respect des obligations issues du chapitre 3 du règlement. Pourquoi ne pas avoir prévu que ces audits annuels étaient tout simplement réalisés par les services de la Commission ? Sans rejeter en bloc la logique de contrôle du secteur privé par lui-même indissociable du « droit de la conformité », on peut se demander si elle n'atteint pas ses limites quand il s'agit des dix ou quinze plus grands acteurs mondiaux du numérique. Face des puissances quasi étatiques dans leurs dimensions, les pouvoirs publics devraient sans doute éviter de se montrer trop timides. Toujours est-il qu'ici, pleine confiance est accordée aux auditeurs privés, à condition qu'ils respectent quelques conditions destinées à prévenir les conflits d'intérêts. Elles sont du reste excessivement laxistes, puisqu'il sera permis de rester l'auditeur de la même société jusqu'à dix années consécutives avant que l'on considère qu'il pourrait y avoir là un problème.
L'audit conduira bien évidemment à la production d'un rapport qui, s'il détecte des difficultés – et comment pourrait-il ne pas y en avoir, au regard de l'ampleur des obligations découlant du chapitre 3 ? -, devra formuler des recommandations de mise en conformité. Il sera alors obligatoire, pour les TGP et TGM, de mettre en œuvre ces recommandations ou de justifier leur inertie.
Systèmes de recommandation : dépersonnalisation [74]. On se souvient que le règlement avait posé plus haut une obligation, pesant sur toutes les plateformes en ligne, de révéler les principaux paramètres influant sur les recommandations. Pour les TGP et TGM, s'ajoute à présent la nécessité de proposer au moins une option « ne reposant pas sur du profilage ». Cela permettra de « dépersonnaliser » les suggestions. Il ne s'agit plus seulement de prendre conscience de l'existence d'une bulle de filtres, mais de la faire éclater. Les suggestions pourraient par exemple s'appuyer sur la popularité de contenus ou de thèmes, à une échelle nationale ou mondiale, à l'instant de l'utilisation du service.
Transparence renforcée de la publicité en ligne [75]. À nouveau, il s'agit de renforcer des obligations précédemment édictées à la charge de l'ensemble des plateformes en ligne, lorsqu'on se trouve face à des TGP ou TGM. Il s'agissait précédemment d'informer l'utilisateur, à titre individuel, sur les caractéristiques d'un message commercial qui lui était personnellement présenté. Cette fois-ci, il est exigé des services numériques qu'ils tiennent un registre global et public de l'ensemble des publicités affichées moins d'un an auparavant. Chacun pourra ainsi savoir quels produits étaient promus, par qui, et quels étaient les critères de sélection du public dans le cas – le plus fréquent en pratique – où il se serait agi de publicité ciblée. Il sera encore possible de savoir, pays par pays, combien d'utilisateurs ont été touchés.
Un tel registre sera utile en bien des occasions, qu'il s'agisse de faire apparaître publiquement des critères de ciblage problématiques jusqu'ici occultés, ou que l'on souhaite retracer l'origine d'une campagne de désinformation sponsorisée [76].
Accès aux données et contrôle des données [77]. L'article dont il est à présent question constitue un point névralgique du DSA. Dans les années à venir, son interprétation fera vraisemblablement l'objet de débats acharnés. Il s'agit en effet d'obliger les TGP et TGM à dévoiler leur plus précieux trésor : les « données ».
Deux circuits sont à distinguer. D'une part, les CSN et la Commission européenne pourront accéder « aux données nécessaires pour contrôler et évaluer le respect du présent règlement ». D'autre part, « l'accès aux données » devra être donné à des chercheurs agréés « à la seule fin de procéder à des recherches contribuant à la détection, au recensement et à la compréhension des risques systémiques dans l’Union ».
Dans les deux cas, une même question se pose : que recouvre la notion de « données » ? L'article 3, relatif aux définitions du règlement, ne fournit pas de réponse. On se demande en particulier, lorsque des traitements algorithmiques sont mis en œuvre, si les « données » renvoient, dans un sens strict, uniquement aux informations entrantes et sortantes, ou si la notion s'interprète plus largement, auquel cas la composition exacte de l'algorithme peut également être demandée. Un considérant incite toutefois à l'optimisme, qui vise « l’accès à des données spécifiques ou la communication de celles-ci, y compris les données relatives aux algorithmes » [78]. Il ajoute encore : « Une telle exigence peut porter, par exemple, sur les données nécessaires pour évaluer les risques et les éventuels préjudices causés par les systèmes de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne, les données concernant l’exactitude, le fonctionnement et les tests des systèmes algorithmiques de modération des contenus, des systèmes de recommandation ou des systèmes de publicité, y compris, le cas échéant, les données et algorithmes d’entraînement, ou encore les données concernant les processus et les résultats de la modération des contenus ou des systèmes internes de traitement des réclamations au sens du présent règlement ».
Il aurait toutefois fallu ancrer cette conception large des « données » dans le corps même du texte. Un autre élément incite à la prudence. Le DSA oblige les CSN et la Commission à tenir compte de « la protection des informations confidentielles, en particulier les secrets d’affaires » [79] : il est probable que les grands acteurs, sur la base de cet argument, se battront pied à pied pour éviter de dévoiler leurs algorithmes les plus sensibles.
À propos de l'accès aux données par les chercheurs, on soulignera qu'ils doivent être agréés par les CSN. Ils peuvent certes passer par le CSN de leur État d'affiliation, qui procèdera à une première analyse du dossier, mais c'est le CSN de l’État membre d'établissement de la TGP ou du TGM qui décidera. En pratique, il s'agira la plupart du temps de l'autorité irlandaise. Son pouvoir ne sera pas négligeable : si certaines conditions, comme l'indépendance des chercheurs, sont relativement objectives, d'autres sont davantage sujettes à interprétation, comme leur capacité à assurer un niveau de sécurité suffisant pour les données.
Fonction de contrôle de la conformité [80]. Le règlement exige des TGP et TGM qu'ils créent « une fonction de contrôle de la conformité », composée d'un ou plusieurs responsables, « indépendante de leurs fonctions opérationnelles ». La suite du texte révèle qu'il s'agit, en principe, de la seule conformité au DSA, mais rien ne semble interdire la mise en place d'un service chargé plus largement de la mise en œuvre des nombreuses réglementations, dans et hors le droit du numérique, reposant sur une logique de conformité. La suite de l'article révèle d'ailleurs les contours de la fonction de « responsable de la conformité », et ils sont largement calqués sur ceux d'un délégué à la protection des données interne dans le RGPD : ne rendant compte qu'au plus haut niveau de la hiérarchie de l'entreprise, le responsable de la conformité est à la fois une vigie, un conseiller, un pédagogue, un interlocuteur pour les pouvoirs publics [81].
Rapport de transparence des TGP et TGM. Le rapport de transparence exigé de tout FSI avait été enrichi une première fois pour les plateformes, il l'est à nouveau pour les acteurs de très grande taille. Ils devront notamment dévoiler les ressources humaines consacrées à la modération des contenus, « ventilées par langue officielle concernée des États membres », et justifier des compétences de ces équipes [82].
Par ailleurs, des indicateurs qui doivent être publiés par les FSI « ordinaires » tous les ans, comme les injonctions d'agir ou d'informer, ou les notifications reçues des usagers, seront publiés tous les six mois dans le cas des TGP et TGM [83].
Surtout, doivent être envoyés au CSN de l’État d'établissement, à la Commission, et doivent être rendus publics le rapport annuel sur l'évaluation des risques systémiques, le rapport annuel issu d'un audit indépendant, et rapport sur la mise en œuvre des recommandations de l'auditeur [84].
Redevance de surveillance [85]. La Commission aura un rôle important à jouer en matière d'application du DSA, supérieur à celui qu'elle endosse actuellement dans le domaine de la protection des données personnelles. Elle avait d'ailleurs publié un nombre significatif d'offres d'emplois spécifiquement à cette fin. S'agissant des TGP et TGM au moins, l'Union entend purement et simplement « recouvrer les frais » ainsi exposés en faisant payer aux acteurs une « redevance de surveillance ». Mais pourquoi, alors, n'avoir pas poussé la logique jusqu'au bout ? Les audits annuels confiés à des tiers dont on peine à construire une indépendance convaincante auraient pu être réalisés par les services de la Commission, puisque leur coût aurait ensuite été répercuté sur la redevance de surveillance. Cela signifie implicitement que la puissance publique européenne ne se sent pas capable, au moins à court terme, de réunir des compétences techniques équivalentes à celles qu'on trouve chez les auditeurs privés, ce qui est préoccupant.
Chapitre IV. Mise en œuvre, coopération, sanctions et exécution
On ne relèvera ici que quelques éléments choisis.
Pouvoirs des CSN. Relevons simplement ici que le pouvoir d'ordonner « la restriction temporaire de l'accès » au service est très fortement encadré [86]. Le pouvoir des CNIL d'ordonner la suspension ou l'arrêt d'un traitement de données personnelles est bien plus vaste [87].
Sanctions. À l'inverse, les CSN peuvent prononcer des amendes plus lourdes, allant, on l'a dit, jusqu'à 6 % du chiffre d'affaires mondial annuel, contre 4 % « seulement » dans le RGPD [88].
Tempéraments au « guichet unique ». Poursuivons la comparaison entre DSA et RGPD en rappelant, même si le fait est bien connu, que le droit européen des données personnelles a largement été tenu en échec, face aux plus grands acteurs américains – auxquels il faudra dorénavant ajouter le chinois TikTok, en raison du mécanisme dit « du guichet unique », ou one-stop-shop. Celui-ci donne un rôle prépondérant, dans la conduite des enquêtes menant à des sanctions, « l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant » [89]. La plupart des acteurs de très grande taille se sont domiciliés à Dublin, et la Data Protection Commission irlandaise fait preuve d'un laxisme notoire dans l'application de la législation.
Le DSA tire en partie les leçons de cet échec. Il est ainsi posé que « La Commission dispose de pouvoirs exclusifs pour surveiller et faire respecter le chapitre III, section 5 », c'est-à-dire le droit spécifique aux TGP et TGM [90]. Nous verrons si elle fait preuve, en la matière, d'un volontarisme suffisant. Par ailleurs, même dans les domaines qui relèvent des autorités nationales, un mécanisme est prévu, en cas d'inertie manifeste de l'une d'entre elles, qui permet à la Commission... de froncer les sourcils [91]. Cela suffira-t-il [92] ?
[1] Directive n° 2000/31/CE, du Parlement européen et du Conseil, du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur N° Lexbase : L8018AUI («directive sur le commerce électronique»).
[2] Ibid, art. 9.
[3] Ibid, art. 12 et s.
[4] LinkedIn est apparu en 2003, Facebook a débordé des campus américains en 2006, Twitter est né la même année. Instagram est arrivé en 2010, TikTok en 2016.
[5] V. par ex. en droit interne, Cass. 1ère civ., 17 février 2011, n° 09-13.202, Fuzz FS-P+B+I N° Lexbase : A1444GXR et n° 09-67.896, Dailymotion , FS-P+B+R+I N° Lexbase : A1445GXS.
[6] Directive e-commerce précitée, art. 14.
[7] Const. const., décision n° 2004-496 DC, du 10 juin 2004, cons. n° 9 N° Lexbase : A6494DCI.
[8] Loi n° 2020-766, du 24 juin 2020, visant à lutter contre les contenus haineux sur internet N° Lexbase : L4895LXL.
[9] Nous tentons de le démontrer dans À la recherche du juste rôle des plateformes exploitant des réseaux sociaux dans la lutte contre la "haine en ligne" [en ligne].
[10] Dans le texte allemand, les contenus signalés devaient être retirés en moins de 24h en cas d'illicéité manifeste, et en moins de 7 jours en cas d'illicéité non manifeste. Le texte français n'avait retenu que le premier de ces deux délais puisque, depuis la décision précitée du Conseil constitutionnel du 10 juin 2004, on ne pouvait plus reprocher à une plateforme le maintien en ligne d'un contenu dont l'illicéité était sujette à discussion.
[11] Const. const., décision n° 2020-801 DC, du 18 juin 2000 N° Lexbase : A81893NM : C. Denizeau, note, Revue française de droit constitutionnel, 2021, n° 126, p. 207 ; B. Bertrand et J. Sirinelli, obs., Dalloz IP/IT, 2020, p. 577 ; F. Safi, note, Dr. pénal, sept. 2020, p. 12 ; N. Droin, note, AJ Pénal, sept. 2020, p. 407 ; C. Bigot, note, D., 2020, p. 1448 ; M. Quéméner, note, Gaz. Pal., 7 juill. 2020, p. 16 . Adde L. Castex, K. Favro et C. Zolynski, La lutte contre la haine en ligne : de l'appel du 18 juin au discours de la méthode, D., 2021, p. 246.
[12] Règlement n° 2022/1925 du 14 septembre 2022, relatif aux marchés contestables et équitables dans le secteur numérique N° Lexbase : L5815ME4.
[13] RGPD : Règlement n° 2016/679 du Parlement européen et du Conseil, 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE N° Lexbase : L0189K8I.
[14] Pour d'autres commentaires du DSA, V. not. E. Dreyer, Règlement sur les services numériques (DSA) : premiers éléments de présentation, Légipresse, 2022. 601 ; E. Dubout, Gouverner la parole : les défis du Digital Services Act, JCP G, 2023, 220 ; G. Loiseau, Le Digital services act, CCE, 2023, étude 3 ; S. Mérabet, Le digital services act : permanence des acteurs, renouvellement des qualifications, JCP G, 2022, 1175 et Le Digital Services Act : guide de l’utilisation de lutte contre les contenus illicites, JCP G, 2022, 1958.
[15] Règlement n° 2022/2065, du 19 octobre 2022, art. 93, 2 : « Le présent règlement est applicable à partir du 17 février 2024. Toutefois, l’article 24, paragraphes 2, 3 et 6, l’article 33, paragraphes 3 à 6, l’article 37, paragraphe 7, l’article 40, paragraphe 13, l’article 43 et le chapitre IV, sections 4, 5 et 6, sont applicables à partir du 16 novembre 2022 ».
[16] Ibid, art. 2. Lorsqu'il sera fait référence à un article sans mention d'un texte particulier, le lecteur devra l'interpréter comme une référence à un article du DSA.
[17] Ibid, art. 3, e).
[18] Ibid, art. 3, h).
[19] Ces propos ne devraient pas être interprétés comme une forme de défiance à l'égard de la jurisprudence du Conseil constitutionnel, que nous approuvons. Il faut simplement relever qu'elle aboutit à des attentes très différentes de celles d'un pays comme l'Allemagne, qui demande aux plateformes de rendre même des arbitrages subtils, en leur laissant simplement davantage de temps pour se prononcer.
[20] Règlement n° 2022/2065, du 19 octobre 2022, art. 4.
[21] Ibid, art. 5 et 6.
[22]Selon une jurisprudence bien connue, « joue un rôle actif à l'égard des contenus le prestataire qui « prête une assistance laquelle consiste notamment à optimiser la présentation des offres à la vente en cause ou à promouvoir celles-ci » : CJUE, 12 juillet 2011, aff. C-324/09, L'Oréal SA c/ eBay N° Lexbase : A9865HUW.
[23] Règlement n° 2022/2065, du 19 octobre 2022, art. 7.
[24] T. Guiroy, La modération des contenus sur YouTube, conférence du 18 novembre 2022, in cycle La modération et les modérateurs de contenus en ligne, (dir. V. Ndior).
[25] La version anglaise de l'art. 7 pose très logiquement : « Providers of intermediary services shall not be deemed ineligible for the exemptions from liability referred to in Articles 4, 5 and 6 solely because they, in good faith and in a diligent manner, carry out voluntary own-initiative investigations [...] ». La version française, de façon incompréhensible, prétend quasiment l'inverse : « Les fournisseurs de services intermédiaires ne sont pas réputés avoir droit aux exemptions de responsabilité prévues aux articles 4, 5 et 6 du simple fait qu’ils procèdent de leur propre initiative, de bonne foi et avec diligence, à des enquêtes volontaires [...] ».
[26] Règlement n° 2022/2065, du 19 octobre 2022, art. 8.
[27] Ibid, art. 9.
[28] Ibid, 52, 3.
[29] Ibid, 10.
[30]Le considérant 34 précise cependant : « Le présent règlement devrait toutefois s’entendre sans préjudice du droit de l’Union dans le domaine de la coopération judiciaire en matière civile ou pénale, y compris le règlement (UE) n° 1215/2012 et un règlement relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, et du droit de la procédure pénale ou du droit de la procédure civile national. Par conséquent, lorsque ces législations prévoient, dans le cadre de procédures pénales ou civiles, des conditions supplémentaires à celles prévues dans le présent règlement ou incompatibles avec celles-ci en ce qui concerne les injonctions d’agir contre des contenus illicites ou de fournir des informations, les conditions prévues dans le présent règlement pourraient ne pas s’appliquer ou être adaptées ».
[31] Règlement n° 2022/2065, du 19 octobre 2022, art. 11.
[32] Ibid, art. 12. L'affirmation selon laquelle les moyens de communication « ne s'appuient pas uniquement sur des outils automatisés » ne nous apparaît pas limpide.
[34] Règlement n° 2022/2065, du 19 octobre 2022, art. 13, 1.
[35] Ibid. art. 13, 3.
[36] Ibid. art. 14, 1.
[37]P. Signoret, Censure de L'Origine du monde : une faute de Facebook reconnue, mais pas sur le fond, Le Monde, 15 mars 2018 [en ligne] ; E. Scappaticci, Facebook censure une campagne contre le cancer du sein », Le Figaro, 28 septembre 2016 [en ligne].
[38] Règlement n° 2022/2065, du 19 octobre 2022, art. 14,5.
[39] Ibid. art. 14, 6.
[40] Ibid. art. 15.
[41] Ibid. art. 16.
[42] Ibid. art. 17.
[44] Règlement n° 2022/2065, du 19 octobre 2022, art. 18.
[45] Ibid, art. 3, i).
[46] Ibid, art. 20.
[47] Il nous semble qu'un tel résultat peut déjà être obtenu, avant l'entrée en application du DSA, par le jeu de l'article 22 du Règlement général sur la protection des données.
[48] Règlement n° 2022/2065, du 19 octobre 2022, art. 21.
[49] Ibid, art. 22.
[51] Le Conseil constitutionnel a ainsi décidé que : « En quatrième lieu, s'il résulte des travaux parlementaires que le législateur a entendu prévoir au dernier alinéa du paragraphe I du nouvel article 6-2 une cause exonératoire de responsabilité pour les opérateurs de plateforme en ligne, celle-ci, selon laquelle « Le caractère intentionnel de l'infraction … peut résulter de l'absence d'examen proportionné et nécessaire du contenu notifié » n'est pas rédigée en des termes permettant d'en déterminer la portée. Aucune autre cause d'exonération de responsabilité spécifique n'est prévue, tenant par exemple à une multiplicité de signalements dans un même temps » (souligné par nous) : Const. const., décision n° 2020-801 DC, du 18 juin 2020.
[52] Règlement n° 2022/2065, du 19 octobre 2022, art. 23.
[53] Ibid, art. 24.
[54] Ibid. 3, j).
[55] Ibid. 25.
[56] Comité européen de la protection des données, Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them, février 2023.
[57] Règlement n° 2022/2065, du 19 octobre 2022, art. 26.
[58] Directive précitée 2000/31/CE, art. 6, b).
[59] Proposition de loi visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux, adoptée par l'Assemblée nationale le 30 mars 2023, spéc. art. 2C, I : « La promotion de biens, de services ou d’une cause quelconque réalisée par les personnes mentionnées à l’article 1er doit être explicitement indiquée par une mention claire, lisible et identifiable sur l’image ou la vidéo, sous tous les formats, durant l’intégralité de la promotion » [en ligne].
[60] L'article 9 du RGPD N° Lexbase : L0189K8I prévoyant déjà la prohibition de principe du traitement de ces « données sensibles », la règle du DSA est-elle utile ? Sans doute, car le principe du RGPD souffre des exceptions, notamment en cas de consentement de la personne concernée. En matière de publicité ciblée sur les plateformes, ni cette exception, ni aucune autre ne pourra être invoquée.
[61] Règlement n° 2022/2065, du 19 octobre 2022, art. 27.
[62] V., parmi les premiers : EE. Pariser, The filter bubble : how the new personalized web is changing what we read and how we think, Penguin books, 2012.
[63] Règlement n° 2022/2065, du 19 octobre 2022, art. 3, s).
[64] Ibid, art. 28.
[65] Sur cette difficile question, qui s'est d'abord posée en matière de consultation de sites pornographiques, mais qui va s'étendre à bien d'autres secteurs, lire notamment CNIL, Vérification de l’âge en ligne : trouver l’équilibre entre protection des mineurs et respect de la vie privée, 26 juillet 2022 [en ligne], spéc. in fine : « Les travaux exploratoires de la CNIL sur un système de vérification de l’âge respectueux de la vie privée ».
[66] Sur cette question, V. not les approches complémentaires de CJUE, 20 décembre 2017, aff. C-434/15, Asociación Profesional Elite Taxi c/ Uber Systems Spain SL N° Lexbase : A2531W8A et de Cass. soc., 4 mars 2020, n° 19-13.316, FP-P+B+R+I N° Lexbase : A95123GE.
[67] Règlement n° 2022/2065, du 19 octobre 2022, art. 30.
[68] Règlement (UE) 2019/1150 du Parlement européen et du Conseil, du 20 juin 2019, promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne N° Lexbase : L0119LRT.
[69] Règlement n° 2022/2065, du 19 octobre 2022, art. 33, qui est en réalité sobrement baptisé « Très grandes plateformes en ligne et très grands moteurs de recherche en ligne ».
[70] Ibid, art. 34.
[71] Ibid, art. 35.
[72] Ibid, art. 36.
[73] Ibid, art. 37.
[74] Ibid, art. 38.
[75] Ibid, art. 39.
[76] Dans ce dernier cas, cependant, des contre-mesures sont évidemment à craindre, comme l'utilisation de sociétés-écrans.
[77] Règlement n° 2022/2065, du 19 octobre 2022, art. 40.
[78] Cons. 96. Souligné par nous.
[79] Règlement n° 2022/2065, du 19 octobre 2022, art. 40, 2.
[80] Ibid, art. 41.
[81] Comp. RGPD, art. 37 et s.
[82] Règlement n° 2022/2065, du 19 octobre 2022, art. 42, 2.
[83] Ibid, art. 42, 1.
[84] Ibid, art. 42, 4.
[85] Ibid, art. 43.
[86] Ibid, art. 51, 3, b) : « lorsque le coordinateur pour les services numériques considère qu’un fournisseur de services intermédiaires n’a pas suffisamment respecté les exigences visées au point a), qu’il n’a pas été remédié à l’infraction ou que l’infraction se poursuit et qu’elle entraîne un préjudice grave, et que cette infraction constitue une infraction pénale impliquant une menace pour la vie ou la sécurité des personnes, demander à l’autorité judiciaire compétente de son État membre d’ordonner une restriction temporaire de l’accès des destinataires au service concerné par l’infraction ou, uniquement lorsque cela n’est pas techniquement réalisable, à l’interface en ligne du fournisseur de services intermédiaires sur laquelle se produit l’infraction ».
[87] Ibid, art. 58, 2 : « Chaque autorité de contrôle dispose du pouvoir d'adopter toutes les mesures correctrices suivantes: […] imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ».
[88] Règlement n° 2022/2065, du 19 octobre 2022, art. 52. Comp. RGPD, art. 83, 5.
[89] RGPD, art. 56.
[90] Règlement n° 2022/2065, du 19 octobre 2022, art. 56, 2 du DSA.
[91] Ibid, art. 59, 3 : si le CSN national n'est pas à la hauteur, le Comité européen des services numériques peut saisir la Commission. Celle-ci peut demander au CSN « de réexaminer la question » et celui-ci doit ...« en tenir le plus grand compte ».
© Reproduction interdite, sauf autorisation écrite préalable
newsid:485170