Le DSA deviendra pleinement applicable le 17 février 2024 pour toutes les plateformes et les intermédiaires en ligne qui offrent leurs prestations (biens, contenus ou services) sur le marché européen : fournisseurs d’accès à internet, marketplaces, cloud, réseaux sociaux.
Le DSA confirme le régime de l’exemption de responsabilité des fournisseurs de services intermédiaires par cette directive, mais leur impose en contrepartie un certain nombre d’obligations de transparence, de diligence et de traçabilité. L’objectif annoncé est de renforcer la légitimité des mesures de modération prises pour répondre à l’impératif de réactivité à l’illicéité en ligne dans un contexte de neutralité de l’internet et par conséquent la responsabilité des services d’intermédiation face à un contenu illicite mais également de proclamation de liberté d’expression à l’ère numérique.
La « modération de contenus en ligne » est définie à l’article 3 t) du DSA comme les activités, qu’elles soient automatisées ou non, qui sont : (i) les « entreprises par des fournisseurs de services intermédiaires », et (ii) « destinées, en particulier, à détecter et à identifier les contenus illicites ou les informations incompatibles avec leurs conditions générales, fournis par les destinataires du service, et à lutter contre ces contenus ou ces informations ».
Ainsi, le DSA vise à « assurer une véritable responsabilisation » des opérateurs numériques (consid. 40 du DSA) lorsqu’ils ont connaissance ou le contrôle d’un contenu illicite.
A noter que la notion de contenu illicite est définie par le DSA de manière large, comme « Toute information qui, en soi ou par rapport à une activité (…) n’est pas conforme au droit de l’Union (…) ». Suivant l’article 14 § 1er de la directive 2000/31/CE, repris à l’article 6 du DSA, ce n’est que lorsque un contenu litigieux lui a été signalé ou qu’un certain contrôle a été exercé préalablement sur ce contenu, que l’« hébergeur » peut se voir imposer une obligation de modération sous peine d’engager sa responsabilité.
Dans ce cadre posé par ce texte, de nouvelles obligations procédurales sont imposées par le DSA aux opérateurs numériques de façon graduelle en fonction de leur objet et de leur taille.
I - Synthèse des critères déterminant les entreprises concernées devant se conformer au DSA.
Au 25 août 2023, le DSA doit être respecté par les plateformes et les moteurs de recherche avec plus de 45 millions d’utilisateurs actifs mensuels dans l’Union européenne. À date, cela concerne les plateformes suivantes : AliExpress, Amazon Store, AppStore, Bing, Facebook, Google Maps, Google Play, Google Search, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Wikipedia, X (anciennement Twitter), YouTube et Zalando et cetera.
Le DSA distingue plusieurs catégories d’opérateurs selon deux critères cumulatifs :
(a) Critère de taille lié à la taille du fournisseur de services intermédiaires
(b) Critère technique lié à la nature de ses activités.
a) Sur le critère de taille du fournisseur de services (effectif et chiffre d’affaires).
La recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises définit les micro-entreprises et petites entre-entreprises de la façon suivante :
- Petite entreprise : entreprise qui occupe moins de 50 personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 10 millions d’euros
- Microentreprise : entreprise qui occupe moins de 10 personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas 2 millions d’euros.
Le DSA prévoit ainsi certaines exceptions pour les micro et petites-entreprises.
Les très grands moteurs de recherches et très grandes plateformes sont définies par les articles 33 § 1 et 2 du DSA comme les plateformes en ligne qui « ont un nombre moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions ».
Ces plateformes en ligne sont tenues notamment de créer un système gratuit de traitement des plaintes à l’encontre de leurs décisions de suppression d’une information illicite ou contraire aux conditions générales, aux décisions de suspension ou de fin de fourniture d’un produit, ou de suspension ou de suppression de compte.
Les plateformes doivent mettre en œuvre deux mécanismes de notification d’un contenu illicite ou contraire aux conditions générale : d’une part, la création d’un poste de signaleur de confiance envers qui les notifications sont adressées, et, d’autre part, la création d’un mécanisme de régulation des abus tant pour le nombre de notifications que pour les contenus illicites
b) Sur le critère de nature de ses activités.
L’article 2 g) du DSA dispose que le textes s’applique aux fournisseurs de services intermédiaires ayant pour activité de :
(i) transmettre sur un réseau de communication ou fournir un accès à un réseau de communication conformément à l’article 4 du DSA
(ii) mettre en cache temporairement conformément à l’article 5 du DSA ou
(iii) héberger plus longtemps des informations provenant de destinataires de services en ligne conformément à l’article 6 du DSA.
II - Les obligations imposées aux fournisseurs de services intermédiaires en ligne.
Le DSA impose de nouvelles obligations aux fournisseurs de « services intermédiaires en ligne » définis comme proposant des « infrastructures de réseau ». Ainsi, au sein de ces services intermédiaires, on retrouve notamment une sous-catégorie qui concerne les « services d’hébergement » (services de cloud).
Le DSA impose aux prestataires du numérique de définir une véritable politique de restriction d’utilisation des services numériques aussi bien au sein de son organisation interne que dans ses conditions générales d’utilisation.
a) Rappel préalable de l’absence d’obligation de surveillance générale des informations transmises ou stockées.
Le DSA rappelle dans son article 8 le principe de base de l’interdiction d’imposer une surveillance généralisée des services en ligne, « les fournisseurs de services intermédiaires ne sont soumis à aucune obligation générale de surveiller les informations qu’ils transmettent ou stockent ou de rechercher activement des faits ou des circonstances révélant des activités illégales ».
Le DSA conserve ainsi les dispositions de la directive sur le commerce électronique 2000/31/CE du 8 juin 2000, qui prévoit un régime de responsabilité atténuée pour les contenus illicites transportés par les prestataires de services de transport d’informations sur un réseau de communication, ou stockés par un prestataire de services de forme de stockage dite « caching » ou d’hébergement.
Dans ce contexte, le DSA se place dans la continuité de l’article 14 et pose que qu’un prestataire de services cloud n’est pas responsable de l’illicéité des données stockées par l’utilisation à condition :
- qu’il n’ait pas effectivement connaissance de l’activité ou de l’information illicite ou [1]
- dès le moment où il en prend connaissance, il les retire promptement ou en rend l’accès impossible [2].
Il est donc nécessaire pour chaque prestataire de préciser l’étendu de sa responsabilité dans les clauses de responsabilité de ses conditions générales d’utilisation en cas de manquement aux obligations précitées.
b) Création d’un point de contact.
Les prestataires sont soumis à une obligation de création d’un point de contact unique à destination des autorités ou d’un représentant légal s’ils ne sont pas établis sur le territoire de l’Union.
La mission de ce point de contact est opérationnelle car il sera le correspondant direct avec les autorités, pour assurer l’efficacité des échanges. Il n’est pas nécessaire de lui accorder un emplacement physique déterminé, contrairement au représentant légal [3]. Son identité et les langues pouvant être utilisées pour les échanges doivent être rendues publiques.
Il est ainsi nécessaire pour les prestataires de nommer un responsable de la mise en conformité qui pourra également être nommé « point de contact » dont le rôle est de répondre aux exigences du DSA. Les coordonnées du point de contact devront être visibles sur son site qui devra contenir quatre informations : ses nom et prénom, son numéro de téléphone, son email et sa (ses) langue(s) de communication.
c) Exigence de transparence.
Les prestataires sont également soumis à des exigences de transparence, notamment sur leurs procédés de modération de contenus, dans leurs conditions générales et dans la parution d’un rapport annuel [4].
Ces rapports sur la modération des contenus doivent être clairs, compréhensibles et détaillés et comprendra notamment :
- le nombre de demandes adressées par chaque autorité, classées par type de contenus illicites conformément aux articles 9 et 10 du DSA
- le temps de traitement
- les modérations engagées de la propre initiative par le fournisseur en détaillant
- le type de mesures prises
- le nombre de réclamations reçues.
Par ailleurs, l’article 14 du DSA précise que les renseignements relatifs aux éventuelles restrictions qu’ils imposent en ce qui concerne l’utilisation de leur service vis-à-vis des informations fournies par les destinataires du service soient facilement accessibles et établies dans un langage clair, simple et intelligible dans leurs CGU. Ces renseignements comprennent des informations sur « les politiques, procédures, mesures et outils utilisés à des fins de modération des contenus, y compris la prise de décision fondée sur des algorithmes et le réexamen par un être humain, ainsi que sur le règlement intérieur de leur système interne de traitement des réclamations ».
Enfin, l’article 15 e) du DSA prévoit que tous les fournisseurs de services intermédiaires devront indiquer sur leur site, s’il existe une prise de décision fondée sur un algorithme accompagné d’un réexamen par un être humain
Il appartiendra aux prestataires d’adapter ses CGU afin de retranscrire sa politique de modération de contenus, dans un souci d’information et de transparence vis-à-vis des destinataires de ses services numériques.
d) Mécanisme de notification des contenus illicite.
Par ailleurs, les hébergeurs et les plateformes doivent mettre en place un mécanisme permettant de leur notifier un contenu illicite et doivent délivrer une information complète sur la procédure de notification.
Plusieurs obligations :
- Obligation générale d’agir contre les contenus illicites sur injonction d’une autorité nationale par l’article 9 du DSA
- Obligation de prévoir « des mécanismes permettant à tout particulier ou à toute entité de leur signaler la présence au sein de leur service d’éléments d’information spécifiques que le particulier ou l’entité considère comme du contenu illicite ».
A cet égard, il peut être précisé au sein même du formulaire de contact précité, les conditions de recevabilité d’un signalement.
Une procédure interne doit être définie pour pouvoir être mise en œuvre dans les délais indiqués par le DSA. Il est donc nécessaire ici de bien définir les rôles et les responsabilités et d’établir une procédure claire et des délais de traitement raisonnables.
e) Création d’un tiers de confiance.
Le DSA créé un nouveau statut de « signaleur de confiance », qui est l’Arcom en France, ayant pour mission de signaler des contenus illicites en vue d’assurer un environnement en ligne sûr, prévisible et fiable.
Les signalements des signaleurs de confiance doivent être gérés en priorité.
Sanctions :
L’article 52 « Sanctions » du DSA, précise les options à disposition des États membres en cas d’infraction au règlement, qui peut aller jusqu’à :
« une amende dont le montant maximal peut atteindre 6% du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires ».
Ce qu’il faut retenir :
- Le DSA prévoit des obligations à tous les fournisseurs de services intermédiaires [5].
- Les obligations de base qui concernent tous les services intermédiaires sont essentiellement des obligations d’information ou liées à l’information.
- Le DSA organise par ailleurs des obligations supplémentaires, applicables aux hébergeurs (incluant les plateformes en ligne) [6].
- Par ailleurs, le DSA prévoit des dispositions applicables uniquement aux plateformes en ligne [7] et aux plateformes en ligne permettant de conclure aux consommateurs des contrats à distance avec des professionnels [8].
- Enfin, le DSA prévoit des obligations à la charge des très grandes plateformes et des très grands moteurs de recherche [9].