L'objectif affiché par la Commission est simple : adapter le cadre réglementaire existant pour répondre aux nouveaux risques et défis que présente la transformation numérique pour la société dans son ensemble. Un objectif ambitieux quand on sait que le cadre réglementaire existant datait de 2000 et avait été conçu pour encourager le développement du commerce électronique [1].

Force est de constater qu'en vingt ans, les enjeux du numérique ont considérablement évolué. De nouveaux services (réseaux sociaux, places de marché, etc.) et avec eux, de nouveaux modèles économiques sont apparus (financement par la publicité, financement sur les frais d'intermédiation, modèles basés sur un écosystème de services, etc.). En conséquence, la société fait face à de nouveaux risques tels que l'exposition des utilisateurs à des contenus illicites multiples (discours haineux, désinformation, etc.) et l'incidence des services numériques sur nos droits fondamentaux (vie privée, pluralité des médias, liberté d'expression, dignité humaine, etc.).

C'est dans ce contexte que la Commission européenne a adopté le DSA [2], qui entrera en vigueur le 17 février 2024, réformant ainsi les obligations des acteurs du secteur, appelés les fournisseurs de services intermédiaires (soit les fournisseurs d'accès internet, fournisseurs de cache, hébergeurs, plateformes en ligne, moteurs de recherche).

Un grand pouvoir implique de grandes responsabilités

Le DSA prévoit différentes obligations de diligence applicables, selon les cas, à tous les services intermédiaires ou seulement à une partie d'entre eux (hébergeurs, plateformes en ligne, très grandes plateformes en ligne, très grands moteurs de recherche). Ces obligations visent principalement à lutter contre les contenus illicites en ligne et à améliorer la transparence à l'égard des utilisateurs de ces services.

S'agissant tout d'abord des obligations applicables à l'ensemble des fournisseurs de services intermédiaires, le législateur européen entend renforcer la transparence à l'égard des utilisateurs et fluidifier la communication et la coopération avec les autorités européennes et nationales s'agissant d'acteurs principalement non européens. Pour ce faire, le DSA impose d'établir deux points de contact uniques et électroniques afin de faciliter la communication avec les autorités [3], d'une part, et les utilisateurs de ces services [4], d'autre part. Concrètement, les fournisseurs de services intermédiaires devront publier l'identité de ces points de contact de façon à faciliter leur identification et de permettre un contact direct et rapide.

Les fournisseurs de services intermédiaires devront en outre désigner un représentant légal (personne physique ou morale), ayant une localisation physique, dans chaque pays où les services sont proposés lorsqu'ils n'ont pas d'établissement au sein de l'Union européenne. Ce représentant légal pourra être désigné responsable des manquements à la réglementation applicable. Les fournisseurs de services intermédiaires devront également intégrer dans leurs conditions générales d'utilisation, de services ou de vente, des indications sur « les politiques, procédures, mesures et outils utilisés à des fins de modération des contenus, y compris la prise de décision fondée sur des algorithmes et le réexamen par un être humain (...) [5] » Enfin, ils devront publier une fois par an des rapports dits « de transparence » sur les activités de modération des contenus.

Des obligations pour les fournisseurs de services d'hébergement

Le DSA vise également les fournisseurs de services d'hébergement, une multitude d'opérateurs comme les hébergeurs de site internet, les services de stockage et de partage de fichiers (notamment les réseaux sociaux), les serveurs de publicités, les pastebins, etc. Conscient de leur rôle central dans la lutte contre les contenus illicites en ligne, le législateur européen leur impose des obligations qui viennent s'ajouter aux précédentes. Les hébergeurs devront ainsi mettre à disposition des utilisateurs un mécanisme de notification pour signaler aisément par voie électronique un contenu considéré comme illicite [6], qui doit être facile d'accès et d'utilisation.

Rappelons qu'un tel mécanisme de notification existait déjà en droit français, depuis la loi sur la confiance dans l'économie numérique de 2004 [7]. Cependant, contrairement à celle-ci, le DSA fait peser la charge du respect du formalisme (c'est-à-dire les mentions obligatoires à inscrire dans la notification) sur l'hébergeur et non sur l'utilisateur qui notifie le contenu. Concrètement, c'est à l'hébergeur de configurer son mécanisme de façon à le rendre conforme au DSA. À la suite de cette notification, il pourra décider ou non de retirer le contenu concerné ou en rendre l'accès impossible, en veillant à garantir les droits fondamentaux de toutes les parties prenantes. L'hébergeur devra donc sans cesse rechercher le juste équilibre entre les droits et libertés de chacun. Enfin, il aura aussi l'obligation de notifier aux autorités judiciaires ou répressives lorsqu'il aura connaissance d'informations conduisant à soupçonner qu'une infraction pénale - présentant une menace pour la vie ou la sécurité d'une ou plusieurs personnes - a été commise, est en train d'être commise ou est sur le point d'être commise [8].

Les réseaux sociaux, plateformes de partage de contenus, places de marché

Le DSA prévoit, par ailleurs, un certain nombre d'obligations spécifiques applicables à une catégorie particulière d'hébergeurs : les plateformes en ligne. Elles sont définies comme tout « service d'hébergement qui, à la demande d'un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d'un autre service ou une fonctionnalité mineure du service principal (...) » [9]. Le DSA vise donc notamment les réseaux sociaux, les plateformes de partage de contenus, les places de marché, etc. Outre les obligations précédentes, celles-ci devront mettre en place un système gratuit de traitement interne des réclamations faites à l'encontre des décisions prises par l'opérateur déclarant un contenu illicite. Ces réclamations devront être traitées « en temps opportun de manière non discriminatoire, diligente et non arbitraire » [10].

Par la suite, la plateforme devra informer l'utilisateur de sa décision (confirmant ou infirmant la première décision). Cette information devra être accompagnée d'une information selon laquelle l'utilisateur a la possibilité d'accéder à un organe de règlement extrajudiciaire des litiges [11]. Afin de renforcer l'efficacité de la lutte contre les contenus illicites, le DSA a créé des « signaleurs de confiance » [12], dont les notifications seront traitées en priorité par les plateformes. Face au risque de déferlement des notifications, le DSA confère un statut particulier aux notifications émanant de certaines entités, réputées compétentes, indépendantes et diligentes dans l'identification des contenus en ligne. En France, le statut de signaleur de confiance pourra être attribué, sur demande, à l'Arcom (Autorité de régulation de la communication audiovisuelle et numérique).

Par ailleurs, dans un objectif de transparence et de protection de l'utilisateur face à certaines pratiques préjudiciables aux utilisateurs, le DSA prévoit différentes obligations telles que l'interdiction des interfaces truquées [13] pour commencer. Ces « pièges à utilisateurs » ou « darkpatterns », interfaces conçues pour manipuler l'utilisateur au moment de faire un choix (souscrire ou non à une offre, choisir un paramétrage). Ensuite, l'interdiction de présenter de la publicité ciblée reposant sur du profilage en utilisant des données personnelles dites « sensibles » (par exemple, information concernant la santé, l'orientation sexuelle, les convictions religieuses, etc.) Également, l'interdiction de la publicité ciblée à destination des utilisateurs mineurs [14]. Et pour terminer, l'information sur les modalités de personnalisation des contenus via leurs systèmes de recommandation [15].

Le cas spécifique des très grandes plateformes

Enfin, le DSA prévoit une dernière salve d'obligations applicables aux très grandes plateformes et très grands moteurs de recherche (opérateurs dont le nombre mensuel moyen d'utilisateurs actifs dans l'Union européenne dépasse 45 millions). Les autorités européennes considèrent que ceux-ci jouent un rôle encore plus important dans la facilitation du débat public, les transactions économiques et la diffusion au public d'informations, d'opinions et d'idées [16]. Elles justifient ainsi l'instauration d'obligations spécifiques à ces opérateurs par des considérations de politiques publiques.

Concrètement, les très grandes plateformes et très grands moteurs de recherche doivent réaliser une évaluation des risques liés à l'utilisation de leurs services [17]. Pour cela, ils doivent recenser, analyser, évaluer « tout risque systémique » découlant de la conception et du fonctionnement de leurs services. En réponse à ces risques identifiés, les opérateurs devront mettre en place des mesures d'atténuation raisonnables, proportionnées et efficaces, adaptées aux risques recensés. Le DSA dresse une liste non exhaustive des mesures d'atténuation possible incluant notamment l'adaptation [18]: de la conception ou du fonctionnement des services, y compris des interfaces en ligne ; des conditions générales et de leur mise en application ; du processus de modération des contenus, des systèmes algorithmiques, y compris les systèmes de recommandation ; du système de publicité ; le renforcement des processus et des ressources en interne ; etc.

Ces très grandes plateformes et moteurs de recherche sont désignés directement par la Commission européenne. À ce jour, on compte dix-sept très grandes plateformes (notamment Amazon Store, Apple - App Store, Booking, Facebook, Google Play, Google Maps, Instagram, LinkedIn, etc.) et deux très grands moteurs de recherche (Bing et Google Search). Deux opérateurs, Amazon et Zalando, ont d'ores et déjà contesté leur qualité de « très grandes plateformes ». Si Amazon a obtenu la suspension de la décision de la Commission européenne le qualifiant ainsi via une procédure d'urgence devant le tribunal de l'Union européenne (référé), la question de sa qualification en tant que telle n'a pas encore été tranchée. De son côté, Zalando aurait formé un recours directement devant la Commission européenne. Nous restons dans l'attente d'une décision... Enfin, il convient de préciser que les obligations applicables aux très grandes plateformes et très grands moteurs de recherche sont applicables depuis le 25 août 2023.

Des contrôles et des sanctions renforcés

Afin de faciliter l'application du DSA au sein de l'Union européenne, le texte impose à chaque État membre de désigner un coordinateur pour les services numériques avec pour mission de surveiller les fournisseurs de services intermédiaires et la bonne exécution de la réglementation applicable [19]. À ce titre, le coordinateur pour les services numériques sera investi de pouvoirs d'enquête et de sanctions pouvant aller jusqu'à 6% du chiffre d'affaires mondial annuel dans les cas les plus graves.

En France, le projet de loi pour sécuriser et réguler l'espace numérique contient quelques dispositions pour adapter le droit français aux exigences du DSA [20]. Le texte prévoit notamment de désigner l'Arcom comme coordinateur pour les services numériques. Concernant les pouvoirs de sanction de celle-ci, le texte reprend les plafonds prévus par le DSA. Ce projet de loi a été adopté en première lecture au Sénat, le 5 juillet 2023, et par l'Assemblée nationale, le 17 octobre 2023.