Face aux nombreux scandales qui érodent la confiance des utilisateurs à l’égard des plateformes en ligne, comment la société civile peut-elle contribuer à la bonne mise en œuvre des règles juridiques liées ?
En sortant de la traditionnelle relation bilatérale entre acteurs régulés et autorités régulatrices, le règlement sur les services numériques (ci-après DSA, règlement 2022/2065) fut novateur. Ce texte prévoit en effet de nombreuses obligations de transparence, favorisant un contrôle diffus de la conformité. Des rapports de transparence pour tous les services aux rapports sur les risques systémiques pour les très grands services, en passant par les rapports annuels des signaleurs de confiance ou des régulateurs : les données fournies sur le fondement du DSA sont nombreuses, diversifiées et éclairantes sur les pratiques des plateformes en ligne.
Dans l’objectif d’analyser ces nombreux documents, la Chaire sur la modération des contenus [1] a réuni plusieurs dizaines d’experts le 3 octobre 2025 pour l’atelier « Hack the DSA ». En installant un cadre propice à la collaboration et aux échanges, cet évènement a permis aux participants de lire de manière critique et collective les documents publiés sur le fondement du DSA afin, notamment, de formuler des recommandations pour en améliorer leur teneur.
La présente contribution a un triple objectif : tout d’abord, rappeler brièvement comment le DSA aborde le contrôle de la conformité (I) ; ensuite, montrer en quoi ce type d’atelier favorise une culture de la conformité (II) et enfin, dessiner les contours pour transposer à d’autres domaines ces analyses collaboratives (III).
I- Le DSA et le contrôle diffus de la conformité.
Reprenant les principes issus de la directive 2000/31 sur le commerce électronique, le DSA reconnaît l’« exemption conditionnelle de responsabilité des fournisseurs de services intermédiaires ». Ce dernier prévoit qu’un service intermédiaire n’est pas responsable des contenus hébergés, distribués ou transmis tant qu’il reste neutre, qu’il n’en a pas connaissance et que dès qu’il prend connaissance de l’illicéité il agit promptement (art. 1, § 2, a et 4, 5, 6 du DSA). En sus de cette exemption conditionnelle de responsabilité, le DSA impose des obligations de diligence spécifiques (art. 1, § 2, b et 11 s. du DSA). Ce sont surtout ces dernières obligations qui font de ce règlement un instrument de « compliance » [2]. L’obligation pour les très grands services de désigner un responsable de la fonction de contrôle et de la conformité est l’un des nombreux témoins de cette démarche [3].
En sus de cette appréhension relativement classique de la compliance, le DSA adopte une approche innovante pour l’examen de la conformité. Celle-ci se fonde sur la confiance dans l’intelligence collective et la capacité des différentes parties prenantes à contribuer au contrôle des acteurs régulés. Cela se traduit par la capacité des chercheurs agréés, sur le fondement de l’article 40 du DSA, à accéder aux données des très grands services afin de mener des recherches sur les risques systémiques présents sur ces services. Cela passe aussi par les quelque quatre-vingts mesures de transparence rendant accessibles au public de nombreux documents, favorisant un accès sans précédent aux données issues des plateformes en ligne. Face à cette capacité exceptionnelle d’analyse, de mise en perspective et d’accès à des informations jusque-là considérées comme « privilégiées et confidentielles », comment la société civile peut-elle efficacement s’en saisir ?
II - Un atelier collaboratif au service de la mise en œuvre du DSA.
Inspiré des hackathons informatiques, l’atelier « Hack the DSA » a réuni une trentaine d’experts venus de différents horizons (chercheurs, représentants d’associations, des régulateurs, juristes, data scientists, spécialistes du numérique…) et de plusieurs pays d’Europe (France, Belgique, Pays-Bas, Espagne…). Dans la lignée des recommandations du rapport “Putting Collective Intelligence to the Enforcement of the DSA [4]”, qui analyse les différentes méthodes de collaboration entre la société civile et les régulateurs, l’atelier « Hack the DSA » a été conçu avec l’objectif de favoriser le travail collectif. Le but de la journée fut donc d’analyser collectivement les documents publiés sur le fondement du DSA, d’identifier les bonnes et mauvaises pratiques, et de formuler des recommandations. L’idée sous-jacente était donc de réaliser la volonté du législateur, à savoir placer la société civile comme l’un des garants de la mise en œuvre effective du DSA.
Après un brainstorming initial, les participants se sont répartis en cinq équipes qui ont travaillé sur l’inter-transparence (les analyses croisées entre différents documents publiés), l’archivage des rapports, la publicité politique en ligne, les rapports sur les risques systémiques, et le rôle des régulateurs. La journée s’est ensuite poursuivie par du travail en équipe, puis par une présentation devant un jury de renom.
Le sentiment général qui est ressorti de l’analyse de ces documents est un manque d’harmonisation préjudiciable aux observations transversales ainsi que des documents qui manquent de données objectives, empêchant d’exercer un véritable contrôle sur les pratiques des services en ligne.
Plusieurs groupes ont ainsi pu regretter le caractère hétérogène des rapports et des données publiés, rendant les comparaisons entre les services hasardeuses. En outre, l’accès aux informations manque souvent de fluidité : bien que la Commission européenne centralise sur une page unique [5] les liens vers les différents documents, il faut ensuite se rendre sur les pages des services pour avoir accès aux données souhaitées. C’est pour répondre à cette dernière difficulté que l’une des équipes s’est d’ailleurs attelée à archiver et garantir la conservation des rapports sur les risques systémiques publiés par les très grands services. Reposant sur l’outil Open Terms Archive [6], cet archivage a un double objectif : permettre un accès pérenne aux rapports sur les risques systémiques et favoriser la comparaison et le suivi des modifications dans le temps. En ce sens, ce projet s’inscrit dans la culture de la conformité sur le long terme : les très grands services peuvent facilement prouver leurs progrès et les tiers peuvent aisément contrôler ces documents.
Le travail accompli lors de cette journée a aussi permis de rappeler [7] que certaines plateformes telles que Meta ou Google ne qualifient pas correctement des contenus à caractère politique, que ce soit en les supprimant ou en les étiquetant de manière inadéquate. Ce constat est d’autant plus inquiétant que ces entreprises ont annoncé mettre fin à la publicité politique, électorale et sociale dans l’Union européenne afin d’éviter de mettre en conformité au Règlement 2024/900 [8] relatif à la transparence et au ciblage de la publicité à caractère politique.
Une autre conclusion saillante qui a émergé concerne le risque de « conformité cosmétique » [9] des services en ligne. La conformité cosmétique se caractérise par des processus de mise en conformité dissociés des résultats visés par la norme. C’est ce qui est notamment ressorti de l’analyse de l’équipe sur les risques systémiques qui a regretté que certains de ces rapports aient une nature principalement auto promotionnelle et manquent de données permettant de vérifier les affirmations.
Ces risques ne sont pas isolés ou propres au DSA, mais s’inscrivent plus généralement dans l’approche de « managerialisme réglementaire » [10] intégrée dans la gouvernance des acteurs privés. Celle-ci « repose largement sur des cadres spécialisés dans la conformité et sur des intermédiaires professionnels dans le domaine de l’audit et de la certification pour mener à bien des opérations opaques et technocratiques qui nécessitent la maîtrise d’un jargon spécialisé et souvent technique ».
Cette approche règlementaire se retrouve intégrée dans un large éventail de domaines, notamment en lien avec le devoir de vigilance [11]. En mettant l’accent sur l’apparence d’activité plutôt que sur le fond et les résultats concrets attendus et en noyant le lecteur sous des dizaines de pages de documentation, l’entité peut faire « diversion » et éviter une véritable reddition de comptes. Ce risque se retrouve dans toutes les matières dans lesquelles la documentation de la conformité est prévue. En invitant des tiers à participer à l’analyse de la conformité des services en ligne, le DSA épaule les régulateurs en lui offrant l’œil aiguisé d’experts. Par exemple, lors de l’atelier Hack the DSA, des spécialistes de violences en ligne, des chercheurs travaillant sur la publicité politique en ligne ou des professionnels de la responsabilisation des plateformes ont pu collaborer pour produire des analyses particulièrement pointues. La valeur ajoutée d’ateliers collaboratifs ne réside donc pas uniquement dans l’évaluation de la conformité des entités régulées, mais va bien au-delà : elle permet aux régulateurs d’identifier les failles existantes dans les cadres règlementaires et de préciser la manière dont les règles doivent s’appliquer.
III - Quelques bonnes pratiques pour des ateliers collaboratifs au service de la compliance.
Le droit du numérique se prête particulièrement bien au développement d’ateliers collaboratifs au service de la mise en conformité. Il est en effet relativement aisé d’évaluer des systèmes d’information à distance, que ce soit en ce qui concerne, par exemple, la collecte de données sur les terminaux des visiteurs d’un site, ou de potentielles failles de sécurité. Pour autant, tous les domaines dans lesquels la documentation de la conformité est accessible à des tiers peuvent aussi tirer parti de ce genre d’évènements.
Toutefois, certains principes doivent impérativement être mis en place pour éviter tout abus. D’abord, ces évènements ne doivent en aucun cas être vus ou utilisés comme une forme de « travail gratuit ». Ce principe s’applique tant à l’égard des entités régulées que des régulateurs. Souvent, les participants sont des membres d’associations, des chercheurs ou des experts et leur temps est tout aussi précieux que celui de personnes travaillant dans des cabinets de conseils et d’audit. Dans la mesure où ce type d’évènements devait être récurrent, il faudrait impérativement envisager un modèle de rémunération (par exemple, via un groupe d’expert, cf. la recommandation formulée dans le rapport Putting Collective Intelligence to the Enforcement of the DSA [12]). Ensuite, ces évènements doivent laisser la place aux discussions à bâtons rompus. Dans ces circonstances, deux recommandations peuvent être formulées : d’une part, il est nécessaire de laisser une grande partie du temps de l’atelier au travail en équipe.
D’autre part, il peut être opportun d’appliquer la règle de Chatham House, c’est-à-dire que les participants sont libres d’utiliser les informations collectées lors de l’atelier mais ils ne doivent révéler ni l’identité, ni les affiliations des personnes à l’origine de ces informations. Enfin, ces évènements ne doivent pas être vus comme une alternative à l’activité de l’autorité régulatrice. Au contraire, ils visent à la renforcer et à l’enrichir. Dans ces circonstances, l’autorité doit impérativement renforcer ses contrôles pour garantir l’effectivité des règles juridiques. Dans cette lignée, et face aux problèmes soulevés lors de l’analyse des différents rapports à l’occasion de l’atelier « Hack the DSA », les régulateurs (tant l’Arcom que la Commission européenne) devraient se saisir pleinement des manquements identifiés et inciter les plateformes à corriger rapidement ces problèmes.
La Chaire sur la modération des contenus est un projet financé par la région Île-de-France.
