Le Digital Services Act dit “DSA” doit entrer en application dès 2023 pour certaines très grandes entreprises et à compter de 2024 plus généralement.
Ce règlement a été définitivement adopté par le Parlement européen le 5 juillet 2022 et formellement adopté par le Conseil de l’Union Européenne le 4 octobre 2022.
Ce Règlement particulièrement riche bouleversera les usages numériques sur le territoire de l’Union Européenne.
Qui sera soumis aux obligations prévues dans le Digital Services Act ?
Ce règlement DSA s’appliquera à tout service fourni normalement contre rémunération à distance, par voie électronique et à la demande individuelle d’un destinataire. Plus précisément, il concerne certains “services intermédiaires“.
L’article 3, g du règlement Digital Services Act apporte une définition plus spécifique des services intermédiaires. Il s’agit de trois types de services :
- Tout d’abord, un service de “simple transport” vise un service qui “transmet, sur un réseau de communication, des informations fournies par un destinataire du service ou à fournir l’accès à un réseau de communication”.
- Ensuite, un service de “mise en cache” qui consiste à “transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, impliquant le stockage automatique, intermédiaire et temporaire de ces informations, effectué dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires à leur demande”.
- Enfin, un service “d’hébergement” qui vise à stocker des informations fournies par un destinataire du service à sa demande.
D’un point de vue plus concret, il concernera notamment les services de cloud, les fournisseurs d’accès à internet, les moteurs de recherches, les marketplaces, réseaux sociaux, plateformes de partages de contenus, plateformes de voyage et d’hébergement et les boutiques d’applications.
De nouveaux critères pour définir les services intermédiaires au sens du Digital Services Act
Les services intermédiaires seront soumis au respect de certaines obligations selon des critères tels que la nature des produits et services proposés, le chiffre d’affaires réalisé, les risques sociétaux et la taille de l’entreprise. Ces obligations seront proportionnées à ces critères.
Les très grandes plateformes en ligne ou très grands moteurs de recherche devront justifier du respect d’obligations supplémentaires les concernant.
A l’inverse, les très petites entreprises ou micro-entreprises seront exemptes de certaines obligations telles que l’instauration d’un système interne de traitement des réclamations ou la désignation de signaleurs de confiance.
Les services intermédiaires visés sont ceux dont le lieu d’établissement est situé dans l’Union Européenne. Il s’agit également de ceux situés dans l’Union Européenne, quel que soit le lieu d’établissement des fournisseurs de ces services intermédiaires.
Qui bénéficiera de ces nouveaux droits ?
Ce nouveau règlement vise les “destinataires du service“. Selon l’article 3, b du Digital Services Act il s’agit de : “toute personne physique ou morale utilisant un service intermédiaire, en particulier dans le but de rechercher des informations ou de les rendre accessibles“.
Concrètement, il ne s’agit pas ici de distinguer selon que le destinataire du service est un consommateur ou un professionnel. Dès lors, les entreprises comme les particuliers bénéficieront des nouveaux droits créés par ce règlement et pourront s’en prévaloir.
Quelles sont les nouvelles obligations créées par le Digital Services Act ?
Le premier apport du règlement DSA est l’obligation pour tous les services intermédiaires en ligne de désigner un point de contact unique ou un représentant légal pour coopérer avec les autorités nationales en cas d’injonction.
Cette disposition a vocation à faciliter les procédures judiciaires et extrajudiciaires permettant aux utilisateurs de s’adresser à un responsable du service au sein de l’Union Européenne.
Plus spécifiquement le DSA prévoit trois catégories de nouvelles obligations pesant sur les services intermédiaires répondant à trois objectifs :
Lutter contre les contenus illicites
Il prévoit notamment des nouvelles règles pour combattre les contenus illicites et la désinformation sur internet. L’objectif est de promouvoir un comportement responsable pour les fournisseurs de services intermédiaires pour créer un environnement plus sûr, fiable pour les utilisateurs et leur permettre d’exercer leurs droits fondamentaux.
L’objectif est enfin d’accompagner le développement des entreprises de l’Union Européenne, concurrencées par des géants internationaux.
Les plateformes en ligne auront l’obligation de mettre en place un outil de signalement des contenus illicites. Ils devront alors rapidement retirer ou bloquer l’accès aux contenus illicites.
Il convient de noter que l’article 8 du Règlement DSA prévoit que les fournisseurs de services intermédiaires ne seront pas soumis à une obligation générale de surveillance des informations transmises ou stockées ou de rechercher activement des faits ou des circonstances relevant d’activités illégales.
Il s’agit ici d’une logique établie depuis la loi pour la confiance en l’économie numérique de 2004. En effet, les plateformes ne peuvent être tenues pour responsables, a priori, de contenus publiés par leurs biais. En revanche, ces fournisseurs de services devront traiter avec davantage de rigueur les signalements effectués par les utilisateurs et plus spécifiquement par les signaleurs de confiance.
Le Règlement DSA imposera également des obligations en termes de traçabilité des vendeurs professionnels. Ainsi,
“les plateformes en ligne devront conserver toutes les informations de façon sécurisée pendant la durée de la relation contractuelle avec le professionnel et six mois après la fin de celle-ci afin que toute réclamation à l’encontre du professionnel puisse être déposée ou que les injonctions le concernant puissent être respectées“.
Favoriser la protection des mineurs
Le Règlement DSA fixe comme objectif la protection des mineurs utilisant des plateformes en ligne. Ainsi, les fournisseurs de plateformes en ligne devront s’assurer d’un très haut niveau de respect de la vie privée, de la sécurité et de la sûreté des mineurs, notamment par la participation à des codes de conduite pour la protection des mineurs.
Les législateurs européens estiment que les mineurs constituent un public particulièrement vulnérable et sensible à la publicité ciblée.
C’est pourquoi en matière de publicité, la Règlement s’oppose à ce que les fournisseurs de plateforme en ligne utilisent les données personnelles pour effectuer une publicité ciblée dès lors “qu’ils savent avec une certitude raisonnable que le destinataire du service est un mineur”.
Obligations en matière de transparence
Les entreprises du numérique auront également l’obligation de fournir des rapports annuels sur les activités de modération des contenus auxquelles ils se sont livrés.
L’article 15 du Règlement prévoit que ces rapports comprendront :
- Pour les fournisseurs de services intermédiaires :
– Le nombre d’injonctions reçues des autorités des États membres, classées par types de contenus illicites concernés, le délai médian pour informer de sa réception ;
– Des informations sur les activités de modération des contenus tels que l’utilisation d’outils automatisés, les formation et l’assistance fournies aux modérateurs, le nombre et le type de mesures affectant la disponibilité, la visibilité et l’accessibilité des informations fournies par les destinataires du service ;
– Le nombre de réclamations reçues par le biais de systèmes internes de traitement des réclamations correspondant aux conditions générales. - Pour les fournisseurs d’hébergement : le nombre de notifications soumises classées par type de contenus présumés illicites concernés, le nombre de notifications soumises par les signaleurs de confiance et toute action entreprise au titre des notifications précisant si l’action a été entreprise sur la base de la loi ou des conditions générales.
De plus, les plateformes sont régulièrement mises en cause pour leur traitement peu efficace des réclamations ou des signalements des utilisateurs. C’est pourquoi, le Règlement DSA prévoit qu’elles devront mettre en place un système interne de traitement des réclamations permettant aux utilisateurs ayant fait l’objet de sanctions (compte suspendu, résilié unilatéralement) de les contester [1].
Obligations en matière de publicité ciblée
Les plateformes en ligne devront informer les utilisateurs sur le fonctionnement de leurs algorithmes en matière de contenus publicitaires et profilage et sur les publicités (auteur de la publicité, typologie des personnes ciblées).
Des obligations plus importantes pesant les très grandes plateformes et très grands moteurs de recherches.
L’article 33 du Règlement prévoit des obligations supplémentaires en matière de gestion des risques systémiques pour les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne. Il s’agit selon cet article des entreprises qui “ont un nombre mensuel moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions“.
Des obligations supplémentaires pour certaines entreprises
La Section 5 du Digital Services Act prévoit des obligations supplémentaires pour ces entreprises dont la liste sera fixée par la Commission Européenne.
Plus spécifiquement, en matière de publicité, les très grandes plateformes et très grands moteurs de recherche devront proposer un système de recommandation de contenus non fondé sur le profilage.
Gestion des risques
L’article 34 du Règlement DSA prévoit que ces entreprises devront recenser, analyser et évaluer tout risque systémique découlant de la conception ou du fonctionnement de leurs services et systèmes connexes, y compris des algorithmes ou de l’utilisation faite de leurs services.
Cette évaluation des risques aura lieu annuellement et comprend les risques suivants et notamment tout effet négatif réel ou prévisible relatifs aux :
- La diffusion de contenus illicites par l’intermédiaire de leurs services ;
- L’exercice des droits fondamentaux (dignité de la personne humaine, respect de la vie privée, protection des données à caractère personnel, liberté d’expression, pluralisme des médias, droits de l’enfant, droits des consommateurs) ;
- Discours civique, les processus électoraux et la sécurité publique ;
- Violences sexistes et à la protection de la santé publique et des mineurs et les conséquences sur le bien-être physique et mental des personnes.
Les institutions européennes estiment que la publication rapport d’évaluation des risques n’est pas suffisante pour des grandes entreprises dotées de moyens techniques, financiers et humains importants. C’est pourquoi, l’article 35 leur impose également d’atténuer les risques systémiques recensés, pour protéger les droits fondamentaux des citoyens de l’Union Européenne.
De plus, ces entreprises devront faire l’objet d’audits indépendants en matière de réduction des risques à leurs propres frais, et au minimum une fois par an dont le contrôle est assuré par l’Union Européenne [2].
Par ailleurs, les algorithmes de leurs interfaces devront être transmis à la Commission européenne et aux autorités nationales compétentes.
Enfin, ces entreprises paieront une redevance de surveillance qui couvre les frais engagés par la Commission Européenne pour mener à bien les missions de surveillance qui lui sont confiées par le Règlement DSA [3].
La création des “signaleurs de confiance”
Dans le cadre de la lutte contre les contenus illicites diffusés sur internet, les plateformes devront coopérer avec des “signaleurs de confiance“. L’objectif est ici de promouvoir une corégulation des contenus avec l’aide de nouveaux acteurs. Ce statut sera conféré par le coordinateur des services numériques aux entités qui le souhaitent. Il pourra en être ainsi des associations de lutte contre le racisme et l’antisémitisme, l’homophobie, le négationnisme ou la pédopornographie par exemple.
Ces entités doivent remplir des conditions prévues à l’article 22.2.a du Règlement DSA qui sont :
- Une expertise et des compétences particulières pour détecter, identifier et notifier des contenus illicites ;
- Une indépendance à l’égard de tout fournisseur de plateformes en ligne ;
- L’exercice d’une activité aux fins de la soumission de notifications de façon diligente, précise et objective.
En outre, les signaleurs de confiance devront publier, une fois par an, des rapports détaillés sur les notifications effectuées à l’égard des fournisseurs.
La désignation d’un coordinateur pour les services numériques
Le DSA impose à chaque État membre la désignation d’un coordinateur pour les services numériques, chargé d’en assurer la surveillance et de l’exécution du règlement.
Le coordinateur devra disposera de l’autonomie, du budget et des moyens suffisants pour accomplir ses missions.
Le coordinateur sera également chargé de pouvoirs d’enquête visés à l’article 51 du DSA. Ce pouvoir d’enquête vise notamment :
- Exiger des informations sur des infractions présumées au règlement.
- Procéder à des inspections dans les locaux utilisés par les débiteurs des obligations.
- Demander à tout salarié ou représentant de fournir des explications sur toute information relative à une infraction présumée.
Par ailleurs, le coordinateur disposera d’importants pouvoirs d’exécution :
- Celui d’accepter les engagements proposés par les fournisseurs pour se conformer au DSA et de rendre ces engagements contraignants.
- D’ordonner la cessation des infractions, d’imposer des mesures correctives proportionnées à l’infraction ou demander à une autorité judiciaire d’y procéder.
- Le pouvoir d’imposer des amendes et des astreintes et d’adopter des mesures provisoires.