Le règlement européen sur les services numériques (Digital Services Act ou DSA) est pleinement entré en vigueur

Par Hervé Gabadou, Tony Baudot, Morgane Bourmault /

Le Digital Services Act (Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE) unifie les règles des États membres dans l’objectif de responsabiliser les plateformes afin de diminuer la diffusion de contenus illicites ou préjudiciables. Il instaure également plus de transparence entre les plateformes en ligne et leurs utilisateurs. Il met en œuvre un principe simple et pédagogique : ce qui est illégal hors ligne doit être illégal en ligne.

Ce texte est pleinement en application depuis le 17 février 2024.

Adopté en octobre 2022, il prévoyait une mise en application graduelle : à compter du 25 août 2023, et jusqu’au 17 février dernier, le DSA s’appliquait uniquement aux 22 très grandes plateformes en lignes ainsi qu’aux très grands moteurs de recherche désignés par la Commission (c’est-à-dire des plateformes comptant au moins 45 millions d’utilisateurs actifs dans l’UE en moyenne par mois, parmi lesquelles on trouvait, sans surprise, Facebook, Microsoft, Booking, Zalando, AliExpress, etc.).

Depuis le 17 février 2024, les obligations prévues par ce texte sont désormais applicables à toutes les plateformes et intermédiaires en ligne qui fournissent des services dans l’UE.

Il faut toutefois relever que les très petites plateformes telles que définies dans la recommandation 2003/361/CE (entreprises de moins de 50 salariés et dont le chiffre d’affaires annuel ou le bilan annuel n’excède pas 10 millions d’euros) ne sont pas concernées par toutes les obligations du DSA (rapports de transparence, système interne de traitement des réclamations, etc.). Il est permis de s’interroger sur le renvoi à cette recommandation pour déterminer les critères pour qualifier une microentreprise ou petite entreprise, alors même que la Commission a adopté en 2013 une directive (directive 2013/34/UE modifiée par la directive déléguée (UE) 2023/2775) déterminant les critères d’identification des micro-entreprises, petites entreprises, moyennes entreprises, etc. et visant par ailleurs des critères similaires (une petite entreprise est une entreprise qui ne dépasse pas les limites d’au moins deux des trois critères suivants : en moyenne 50 salariés, bilan qui n’excède pas 5 millions d’euros ou chiffre d’affaires net qui n’excède pas 10 millions d’euros).

Qui est concerné ?

Le DSA s’applique aux fournisseurs de services intermédiaires (article 2 du DSA), parmi lesquels se rangent :

  • Les services de simple transport ou de mise en cache. Ex : FAI (Orange, Free), bureaux d’enregistrement de noms de domaine (IONOS, Ikoula)
  • Les services d’hébergement. Ex : services d’information en nuage (AWS, Microsoft Azure), services d’hébergement de sites web (Ionos, Hubspot, Google Cloud Hosting), services de référencement payant (Google Adwords)

Le même texte définit également une « plateforme en ligne » comme un service d’hébergement qui, à la demande d’un bénéficiaire du service, stocke et diffuse au public des informations. Ex : réseaux sociaux (Facebook, Yubo, BeReal), places de marché (Amazon, LeBonCoin, Rakuten, Alibaba, Vinted, Veepee), applications de rencontres (Tinder, Meetic), plateformes de partage de contenus et de vidéos (YouTube, Dailymotion), plateformes de voyage et d’hébergement (Booking, Airbnb).

Enfin, un « moteur de recherche en ligne » est définit comme un service intermédiaire qui permet aux utilisateurs de formuler des requêtes afin d’effectuer des recherches sur, en principe, tous les sites internet ou sur la base d’une requête lancée sur n’importe quel sujet. Ex : Google Search, Qwant, Bing et autres moteurs de recherche sectoriels ou spécifiques.

Quelles nouvelles obligations pour les services numériques ?

Le DSA détaille les « obligations de diligence pour un environnement en ligne sûr et transparent » (chapitre III) lesquelles sont dévolues à différents acteurs suivant le type d’obligation de diligence considérée.

Ainsi, en premier lieu, certaines dispositions (section 1 du Chapitre III) sont applicables à tous les fournisseurs de services intermédiaires.

Il s’agit, par exemple :

  • de désigner un point de contact unique :
    • pour communiquer directement avec les autorités françaises (ARCOM) et la Commission (art. 11)
    • afin de permettre aux destinataires du service de communiquer directement et rapidement avec le fournisseur (art. 12)
  • d’informer les utilisateurs des modifications de leurs conditions générales (CG) et les formuler de façon simple, intelligible, aisément abordable et sans ambiguïté. Les CG doivent comprendre les mécanismes de recours et de réparation disponibles pour l’utilisateur (art. 14)
  • d’établir des rapports de transparence relatifs à leurs systèmes internes de traitement des réclamations et leurs activités de modération des contenus (art. 15)

Ensuite, d’autres obligations (section 2 du Chapitre III) sont applicables aux fournisseurs de services d’hébergement, y compris aux plateformes en lignes.

Il s’agit alors, par exemple :

  • de mettre en place des mécanismes de notification et d’action permettant à tout particulier ou à toute entité de signaler la présence de contenu illicite (art. 16)
  • de fournir un exposé des motifs clair et spécifique dans le cas d’une restriction d’accès ou de publication (art. 17)
  • d’informer promptement les autorités répressives ou judiciaires en cas de connaissance d’informations conduisant à soupçonner qu’une infraction pénale a été commise, est en train d’être commise ou est susceptible d’être commise (art. 18)

Sont également prévues des obligations supplémentaires (section 3 du Chapitre III) ne concernant que les seuls fournisseurs de plateformes en ligne.

Il s’agit, par exemple :

  • de mettre en place un système interne de traitement des réclamations (art. 20)
  • de traiter les notifications des signaleurs de confiance en priorité (art. 22)
  • de suspendre la fourniture des services aux destinataires du service qui fournissent fréquemment des contenus manifestement illicites (art. 23)
  • des obligations en matière de rapports de transparence (art. 24), de conception et organisation des interfaces en ligne (art. 25), de publicité (art. 26), de transparence du système de recommandation (art. 27) et de protection des mineurs en ligne (art. 28).

Des dispositions supplémentaires (section 4 du Chapitre III) sont applicables aux plateformes en ligne lorsqu’elles permettent aux consommateurs de conclure des contrats à distance avec des professionnels : traçabilité des professionnels (art. 30), conformité dès la conception (art. 31) et droit à l’information (art. 32).

Enfin, les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne sont également soumis à des obligations complémentaires (section 5 du Chapitre III) pour la gestion de leurs risques systémiques.

Le status quo de la responsabilité des hébergeurs et plateformes en lignes : obligation de mettre en place un mécanisme permettant des notifications complètes

Le régime de responsabilité mis en place pour les fournisseurs de services intermédiaires est maintenu aux mêmes conditions que celui précédemment en vigueur, issu de la directive e-commerce, transposée en droit interne par la LCEN – loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique : les hébergeurs ne peuvent voir leur responsabilité engagée à raison des contenus qu’ils stockent que s’ils ne réagissent pas pour les retirer ou en interdire l’accès après avoir été dument informés. L’absence d’obligation générale de surveillance (art 8 DSA) demeure le principe.

Toutefois, là où la responsabilité de procéder à une notification conforme pesait jusqu’alors sur le seul « notifiant » (notamment l’obligation de viser les motifs légaux pour lesquels le contenu litigieux devrait être retiré, l’obligation de fournir la copie de la correspondance adressée à l’auteur demandant le retrait, etc.), le DSA opère un partage avec l’hébergeur/la plateforme.

Le prestataire de services intermédiaires doit en effet mettre en place un mécanisme facile d’accès et d’utilisation pour permettre la notification d’un contenu illicite et il doit faire en sorte que les notifications soumises contiennent des informations spécifiques, telles qu’une explication suffisamment motivée des raisons pour lesquelles le contenu est illicite (art 16 DSA). La responsabilité du caractère complet de la notification se trouve transférée vers l’hébergeur/la plateforme en ligne, libérant ainsi le « notifiant » de l’exclusivité de cette responsabilité.

Sanctions encourues

Dans le cas d’une violation du DSA, plusieurs sanctions sont envisagées, notamment :

  • lorsqu’un fournisseur de services numériques n’a pas suffisamment remédié à une infraction pénale impliquant une menace pour la sécurité ou la vie des personnes, une restriction temporaire de l’accès au service concerné peut être appliquée (51 du DSA)
  • Une amende infligée à la plateforme ne pouvant dépasser 6% de son chiffre d’affaires mondial annuel au cours de l’exercice précédent (52 du DSA)

La Commission européenne a d’ores et déjà ouvert une procédure d’enquête à l’encontre de la société TikTok au titre du DSA, afin d’évaluer si cette société a enfreint la législation sur les services numériques dans des domaines liés à la protection des mineurs, à la transparence de la publicité, à l’accès aux données, ainsi qu’à la gestion des risques liés à la conception addictive et aux contenus préjudiciables.

Application en France

Le DSA, un règlement, est d’application directe de sorte que la loi sur la confiance dans l’économie numérique (LCEN) adoptée en France pour assurer la transposition de la directive européenne sur le commerce électronique (Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000), et qui a notamment introduit un régime de responsabilité allégée pour les hébergeurs, a vocation à être modifiée par les dispositions du DSA.

En effet, dans le but d’unifier les règles régissant la responsabilité des prestataires de services intermédiaires au sein du marché unique, le DSA modifie la directive sur le commerce électronique. Ainsi, les articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires de services intermédiaires (tels que définis par la directive), sont supprimés (voir art. 89 du DSA) et remplacés par les articles 4, 5, 6 et 8 du DSA.

 

Le projet de loi de modification de la LCEN a été présenté en Conseil des ministres le 10 mai 2023. Il a été adopté en première lecture, avec modifications, à l’unanimité, par le Sénat le 5 juillet 2023. Il a ensuite été adopté en première lecture, avec modifications, par l’Assemblée nationale le 17 octobre 2023. Le gouvernement ayant engagé la procédure d’adoption accélérée pour ce projet de loi, l’Assemblée nationale et le Sénat travaillent actuellement au sein d’une commission mixte paritaire afin de parvenir à un accord sur la version finale du texte.

 

Ce qu’il faut retenir.

La qualification de fournisseur de services intermédiaires issue du DSA englobe une grande diversité d’activités liées à l’hébergement, la mise en relation, aux places de marché, etc.

Depuis le 17 février 2024, les obligations issues du DSA s’appliquent à tous ces fournisseurs, peu importe leur taille et certaines actions doivent être entreprises sans délai telle que la désignation d’un point de contact unique (vis-à-vis des autorités et vis-à-vis des destinataires du service), la mise en place d’un mécanisme de notification et d’action permettant à tout particulier ou à toute entité de signaler la présence de contenu illicite ou encore la mise en place de mécanismes de recours et de réparation proposés aux utilisateurs (qui doivent apparaitre clairement dans les conditions générales du site).

Ces articles peuvent vous intéresser

Tags : ,
Hervé Gabadou

Avocat Associé, Hervé dirige l’activité juridique, Digital & Innovation, du cabinet d’avocats Deloitte Legal. Il accompagne différents acteurs du secteur privé et public dans leurs projets de transformation numérique faisant […]

Tony Baudot

Tony est avocat Senior Manager du département juridique en charge du droit de l’informatique et de la protection des données. Il a rejoint Deloitte Société d’Avocats en 2016 en qualité d’avocat.  Tony intervient régulièrement sur l’ensemble des problématiques juridiques de l’informatique, notamment dans le […]

Morgane Bourmault

Morgane a acquis une expérience significative en tant qu’avocate dans le domaine des technologies de l’information, des données personnelles, des télécommunications et de la cybercriminalité, et plus généralement dans le […]