I. Du régime d’irresponsabilité à la compliance graduée : vingt-cinq ans de construction juridique.
En septembre 2000, dans un article publié aux Petites Affiches sous le titre « Acteurs de l’internet, responsables, mais pas coupables » [2], j’analysais les incertitudes entourant le régime de responsabilité applicable aux intermédiaires techniques – principalement les fournisseurs d’accès et les hébergeurs – à une époque où le droit positif était encore largement en construction. Le paysage juridique était alors fragmenté : le Conseil constitutionnel venait de censurer certaines dispositions de la loi sur la liberté de communication relatives à la responsabilité des hébergeurs, jugeant qu’elles portaient une atteinte disproportionnée à la liberté d’expression.
Quelques mois avant cette décision du Conseil Constitutionnel, la jurisprudence, explorait des notions « d’obligation de vigilance » et de « diligences appropriées », tentant d’adapter les catégories classiques du droit de la responsabilité à l’architecture décentralisée du réseau. En 1999, la Cour d’appel de Paris en 1999, avait posé la première pierre de l’édifice prétorien que nous espérions en rappelant que l’Internet n’était pas un espace de non-droit et que chaque acteur devait assumer la conséquence des risques économiques qu’il prenait.
Vingt-cinq ans plus tard, le paysage s’est profondément transformé. La directive 2000/31/CE sur le commerce électronique a d’abord été transposée en droit français par la loi pour la confiance dans l’économie numérique (LCEN) de 2004 [3], établissant un premier cadre harmonisé au niveau européen. Ce texte posait les bases du régime d’exonération de responsabilité conditionnelle des hébergeurs et des fournisseurs d’accès, tout en consacrant le principe fondamental de l’absence d’obligation générale de surveillance.
Mais c’est surtout l’adoption du règlement (UE) 2022/2065 du 19 octobre 2022 sur un marché unique des services numériques (Digital Services Act, ou DSA), pleinement applicable à l’ensemble des prestataires de services intermédiaires depuis le 17 février 2024 [4], qui marque une rupture paradigmatique. Le DSA ne se contente pas de réécrire les clauses d’exonération de responsabilité déjà connues : il construit un véritable droit de la conformité des plateformes, fondé sur des obligations de diligence graduées selon la taille et l’impact des acteurs, culminant avec un régime particulièrement exigeant pour les « très grandes plateformes en ligne » et les « très grands moteurs de recherche en ligne ».
A. La continuité assumée : le maintien des régimes d’exonération.
Le DSA reprend, en les adaptant et les modernisant, les trois régimes d’exonération déjà consacrés par la directive sur le commerce électronique : simple transport (« mere conduit »), mise en cache (« caching ») et hébergement (« hosting »). Les articles 4 à 6 du règlement reproduisent, sous une forme actualisée, les conditions dans lesquelles le prestataire qui assure la transmission de données, la mise en cache automatique ou l’hébergement de contenus fournis par des tiers ne peut voir sa responsabilité engagée pour ces contenus.
Pour bénéficier de ces exonérations, les conditions restent strictes : le prestataire ne doit pas jouer un rôle actif dans la création ou la présentation du contenu, il doit agir de manière purement technique, automatique et passive, et surtout, il doit agir promptement pour retirer ou rendre inaccessible le contenu dès qu’il acquiert une connaissance effective de son caractère illicite. Cette dernière condition, apparemment simple, soulève en pratique d’innombrables difficultés d’interprétation.
Le principe de l’absence d’obligation générale de surveillance est expressément réaffirmé à l’article 8 du DSA, dans la lignée du considérant 47 de la directive 2000/31/CE. Les intermédiaires techniques ne peuvent être transformés en censeurs généraux des contenus mis en ligne par les utilisateurs. Ce principe fondamental vise à préserver l’équilibre entre la liberté d’expression et la lutte contre les contenus illicites, évitant une surveillance généralisée qui pourrait conduire à une censure excessive.
B. L’articulation complexe entre DSA et droit national.
Pour autant, le DSA ne rend pas la LCEN obsolète. Celle-ci conserve une valeur résiduelle, mais non négligeable [5]. Elle demeure applicable pour tout ce qui n’est pas couvert par l’harmonisation européenne : les incriminations pénales propres au droit français (apologie du terrorisme, incitation à la haine raciale, diffamation), les modalités procédurales de retrait judiciaire, et la responsabilité civile délictuelle de droit commun.
La LCEN continue notamment à jouer un rôle pour la mise en jeu de la responsabilité d’hébergeurs ou de plateformes qui ne relèvent pas du champ de compétence directe de la Commission européenne. C’est le cas en matière de diffamation de presse, de dénigrement commercial ou de concurrence déloyale, domaines où le droit français conserve ses spécificités procédurales et substantielles.
L’articulation des deux textes est donc stratifiée et complexe. Le DSA fixe les principes d’exonération, harmonisés au niveau de l’Union ; la LCEN subsiste comme couche nationale, notamment pour organiser les voies de recours, les procédures judiciaires et certaines sanctions. La loi du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (SREN) [6] illustre cette articulation en renvoyant explicitement au DSA pour définir la notion de « contenu illicite », tout en laissant au droit interne le soin d’en tirer les conséquences répressives et en ajoutant des obligations spécifiques, notamment en matière de protection des mineurs.
II. Les obligations différenciées selon la taille des acteurs : une régulation proportionnée.
Le vocabulaire lui-même témoigne du changement de paradigme opéré par le DSA. La figure indifférenciée et quelque peu romantique de « l’acteur de l’internet », qui dominait les premiers commentaires doctrinaux, cède la place à une typologie précise et technique des « services intermédiaires » [7]. Le règlement distingue méthodiquement les services de simple transport, les services de mise en cache et les services d’hébergement, ces derniers se subdivisant eux-mêmes en « plateformes en ligne » lorsque le service consiste principalement à stocker et diffuser au public des informations fournies par les utilisateurs, ou à mettre en relation plusieurs catégories d’utilisateurs pour la conclusion de contrats à distance.
À l’intérieur de cette catégorie des plateformes en ligne, le DSA établit une distinction cruciale en identifiant les « très grandes plateformes en ligne » (VLOPs) et les « très grands moteurs de recherche en ligne » (VLOSEs), définis par un seuil quantitatif de 45 millions d’utilisateurs actifs moyens par mois dans l’Union, soit environ 10 % de la population européenne [8]. Ces services – qui incluent les réseaux sociaux majeurs comme Facebook, Instagram, X (ex-Twitter), TikTok, les grandes places de marché comme Amazon, les app stores d’Apple et Google, et les moteurs de recherche dominants – sont réputés présenter des risques systémiques pour le bon fonctionnement du débat public, la protection des mineurs, la lutte contre les contenus illicites ou la manipulation de l’information.
A. Le socle commun d’obligations pour tous les intermédiaires.
Au-delà des régimes d’exonération de responsabilité, le DSA instaure, pour l’ensemble des services intermédiaires, un socle d’obligations de diligence qui traduit la consolidation d’un véritable droit de la « compliance numérique ». Tous les prestataires, quelle que soit leur taille, doivent ainsi mettre en place un point de contact unique, facilement accessible aux utilisateurs et aux autorités. Lorsqu’ils sont établis hors de l’Union européenne, ils doivent impérativement désigner un représentant légal dans l’UE, garantissant ainsi l’effectivité du contrôle juridictionnel.
Tous doivent également publier des conditions générales d’utilisation rédigées de manière claire, compréhensible et non trompeuse, dans un langage accessible au grand public. Ces conditions doivent indiquer notamment les politiques de modération de contenus appliquées, les principaux paramètres des systèmes de recommandation algorithmique, et les possibilités de personnalisation offertes aux utilisateurs. Cette exigence de transparence constitue une avancée majeure par rapport à l’opacité qui caractérisait jusqu’alors le fonctionnement de ces services.
B. Les obligations renforcées des plateformes en ligne.
Les plateformes en ligne, au-delà du socle commun, sont soumises à des obligations supplémentaires proportionnées à leur rôle d’intermédiation active. Elles doivent mettre en place des mécanismes de signalement facilement accessibles et conviviaux permettant à toute personne de notifier la présence alléguée de contenus illicites. Ces mécanismes doivent être conçus de manière à faciliter la soumission de notifications suffisamment précises et dûment motivées.
Les plateformes doivent également instaurer un système interne de traitement des réclamations permettant aux utilisateurs de contester les décisions de modération.
Chaque décision de retrait, de rétrogradation ou de suspension doit être motivée de manière circonstanciée, en indiquant la base juridique ou contractuelle de la mesure, les voies de recours disponibles et les coordonnées du point de contact. Les plateformes doivent publier des rapports de transparence détaillés, au moins une fois par an, présentant notamment le nombre de signalements reçus, les mesures prises, les délais moyens de traitement et l’utilisation de moyens automatisés de modération.
C. Le régime spécifique et contraignant des très grandes plateformes.
Les très grandes plateformes et moteurs de recherche constituent la catégorie la plus strictement régulée par le DSA. Elles doivent réaliser, au moins une fois par an, des analyses approfondies des risques systémiques découlant de la conception, du fonctionnement et de l’utilisation de leurs services. Ces analyses doivent couvrir quatre catégories de risques : la diffusion de contenus illicites, les atteintes aux droits fondamentaux (liberté d’expression, vie privée, non-discrimination), les effets négatifs sur le débat civique et les processus électoraux, et les conséquences sur la santé publique et la protection des mineurs.
Sur la base de ces analyses, elles doivent adopter des mesures d’atténuation raisonnables, proportionnées et efficaces. Ces mesures peuvent inclure l’adaptation des systèmes de recommandation, le renforcement des processus de modération, la limitation de l’affichage de publicités, ou encore la coopération avec des « signaleurs de confiance » (trusted flaggers). Les très grandes plateformes doivent se soumettre, à leurs frais, à des audits externes indépendants annuels vérifiant leur conformité aux obligations du DSA.
Elles doivent également fournir à la Commission européenne et aux chercheurs agréés un accès aux données nécessaires pour surveiller et évaluer le respect du règlement. Cette obligation d’accès aux données, longtemps réclamée par la communauté scientifique, constitue une avancée majeure pour la compréhension des mécanismes de diffusion de l’information et de formation de l’opinion publique en ligne.
La Commission européenne dispose de pouvoirs d’enquête et de sanction renforcés à l’égard de ces très grandes plateformes. Elle peut infliger des amendes pouvant atteindre 6% du chiffre d’affaires mondial annuel de l’entreprise en cas de violation du règlement, et jusqu’à 1% en cas de fourniture d’informations inexactes ou trompeuses. Ces montants, potentiellement considérables pour des entreprises réalisant des dizaines de milliards d’euros de chiffre d’affaires, sont censés garantir l’effet dissuasif des sanctions.
III. L’application pratique : entre velléités de conformité et résistances structurelles.
A. Une jurisprudence française en mutation vers plus de responsabilisation.
La jurisprudence française récente témoigne d’une évolution notable vers une responsabilisation accrue des plateformes, anticipant parfois les évolutions législatives. L’arrêt Teezily rendu par la Cour de cassation le 13 avril 2023 [9] marque un tournant. La haute juridiction a retenu qu’une plateforme de vente en ligne peut être tenue pour responsable du dénigrement lorsqu’elle profite directement de la commercialisation de produits contrefaisants ou dénigrants, notamment par le biais de commissions sur les ventes. Cette décision rompt avec une jurisprudence antérieure plus protectrice des intermédiaires techniques.
Dans le domaine de la lutte contre les discours de haine, la Cour d’appel de Paris, dans un arrêt du 20 janvier 2022 concernant Twitter [10], a jugé que le réseau social pouvait voir sa responsabilité engagée pour défaut de modération efficace de contenus manifestement haineux, dès lors qu’il avait été alerté de leur présence et n’avait pas agi avec la diligence requise. La juridiction a considéré que la liberté d’expression ne pouvait servir de paravent à l’inaction face à des contenus manifestement attentatoires à la dignité humaine.
Le Tribunal de commerce de Paris, dans une décision du 21 novembre 2022 impliquant Tripadvisor [11], a franchi un pas supplémentaire en retenant la responsabilité de la plateforme pour des avis dénigrants, considérant qu’elle avait manqué à son obligation de vigilance en ne vérifiant pas l’authenticité des commentaires publiés. Cette décision illustre l’émergence d’une obligation positive de vérification pesant sur certaines plateformes, au-delà du simple retrait a posteriori de contenus signalés.
B. L’affaire du faux coup d’État : symptôme d’une résistance systémique.
L’exemple récent de la vidéo générée par intelligence artificielle annonçant un faux coup d’État en France illustre de manière saisissante l’écart persistant entre le cadre juridique théorique et la pratique effective des grandes plateformes. Cette vidéo, manifestement mensongère et potentiellement déstabilisatrice, a circulé massivement sur Facebook, provoquant la panique jusqu’en Afrique où certains chefs d’État l’ont prise au sérieux. Malgré les demandes répétées de l’Élysée, Meta a refusé de retirer le contenu, invoquant ses propres « standards de communauté » et sa conception extensive de la liberté d’expression.
Le président de la République française a lui-même reconnu publiquement son impuissance face à cette situation, déclarant que « ces gens se moquent de nous » Cette déclaration, au-delà de son caractère anecdotique, révèle une réalité structurelle : en opposant leurs « standards » internes, largement inspirés d’une conception américaine absolutiste de la liberté d’expression, aux demandes des autorités nationales européennes, ces plateformes entendent faire prévaloir leurs propres règles privées sur le droit européen et sur les exigences de protection de l’ordre public démocratique.
Cette résistance s’explique en partie par une ambiguïté fondamentale du DSA. Le règlement ne crée pas, en tant que tel, une catégorie autonome de « désinformation » illicite, mais renvoie à l’illégalité au sens du droit matériel de l’Union ou des États membres. Or, la désinformation, même manifeste, ne constitue pas nécessairement un contenu illicite au sens juridique strict. Elle peut être moralement condamnable, socialement dangereuse, politiquement déstabilisatrice, sans pour autant tomber sous le coup d’une incrimination pénale précise.
Dans cet interstice juridique, ce sont donc les conditions générales d’utilisation des plateformes, leurs systèmes de recommandation algorithmique et leurs procédures internes de modération qui structurent, en pratique, l’accès à l’information et l’arbitrage entre liberté d’expression, dignité humaine, sécurité publique et intégrité des processus démocratiques. Le conflit n’oppose plus seulement le juge national et l’intermédiaire technique, comme au temps de l’affaire Estelle Hallyday/Altern, mais un ordre juridique constitué – celui de l’Union européenne et de ses principes fondamentaux – et un ordre normatif privé, mondialisé, dont les plateformes entendent faire la référence principale dans la gestion des controverses.
C. Les limites de l’empilement normatif face au pouvoir des plateformes.
On pourrait espérer que l’empilement des textes – DSA, SREN, DMA, bientôt règlement sur l’intelligence artificielle – finisse par combler cet écart et par imposer sans ambiguïté la primauté du droit européen sur les standards internes des plateformes. Le DMA [12], en particulier, vise à limiter le pouvoir de marché des « contrôleurs d’accès » (gatekeepers) et à garantir la contestabilité des marchés numériques. Le futur règlement sur l’IA devrait encadrer les systèmes de recommandation algorithmique et les outils de génération de contenu.
Il n’est pas certain, toutefois, que la seule prolifération normative suffise à résoudre le problème. Les catégories juridiques demeurent largement arrimées à la distinction binaire classique entre contenu licite et contenu illicite, sans saisir pleinement la zone grise des contenus « préjudiciables, mais légaux » (harmful but legal) qui constituent l’essentiel des défis contemporains : désinformation, théories du complot, manipulation émotionnelle, polarisation artificielle du débat public.
Conclusion : vers une responsabilité pour risque-profit dans l’économie numérique ?
La prolifération normative européenne pourrait-elle finalement imposer la primauté du droit sur les standards internes des plateformes ? L’expérience récente invite au scepticisme. Les grandes plateformes disposent de ressources considérables pour contourner, retarder ou vider de leur substance les régulations qui les dérangent. Leur pouvoir de lobbying, leur capacité d’innovation technique permanente, leur maîtrise de l’architecture du réseau leur confèrent une agilité que les régulateurs peinent à égaler.
Plus fondamentalement, il n’est pas certain que la régulation actuelle saisisse correctement la nature du pouvoir exercé par ces plateformes. La jurisprudence française du début du XXᵉ siècle, de l’arrêt Jand’heur [13] à l’arrêt Compagnie générale d’éclairage de Bordeaux [14], relayée par la théorie du risque développée par Louis Josserand [15], avait déjà perçu le lien intrinsèque entre puissance économique, maîtrise de l’organisation technique et prise en charge des dommages qui en résultent. Cette approche par le risque-profit, qui fait peser sur celui qui tire profit d’une activité la charge des dommages qu’elle peut causer, pourrait offrir une grille de lecture pertinente pour appréhender la responsabilité des plateformes.
De l’hébergeur Altern impliqué dans l’affaire Estelle Hallyday aux très grandes plateformes d’aujourd’hui, la question demeure fondamentalement la même, mais elle se formule désormais en termes de hiérarchie des normes : comment faire en sorte que des opérateurs privés qui structurent l’espace informationnel européen cessent de considérer leurs « règles de communauté » comme le droit commun de l’expression en ligne, et acceptent de s’inscrire effectivement dans le cadre des principes généraux du droit européen et de la responsabilité pour risque-profit qui devrait en découler ?
Le DSA, la SREN et le DMA dessinent les contours d’une réponse fondée sur la conformité, la transparence et la coopération institutionnelle. Ces textes marquent indéniablement un progrès par rapport à la situation antérieure. Mais l’épisode du faux coup d’État rappelle cruellement que, tant que les décisions déterminantes continueront de se prendre d’abord au regard de conditions générales privées conçues en Californie, puis seulement en second lieu sous le contrôle distant et tardif du juge européen, les plateformes demeureront, pour paraphraser le titre de 2000, « responsables, mais pas vraiment coupables ».
Leurs propres règles continueront de concurrencer, voire de supplanter dans les faits, le droit commun européen. La bataille pour la souveraineté numérique européenne ne fait que commencer. Pourtant de tels contenus sont répréhensibles à plusieurs chefs dans le droit national, sans le concours des grandes plateformes ils ne pourraient être diffusés, les algorithmes favorisent ce type de contenu générant de nombreuses interactions, ces interactions sont la source des profits de ces grande plateformes enfin elles disposent des moyens leur permettant de vérifier le caractère manifestement illicite de certains contenus. N’est-il pas temps qu’elles assument les conséquences des risques qu’elles prennent pour maximiser leurs profits ?
