Avec le règlement européen sur les services numériques, la Commission Européenne entend offrir une meilleure protection aux consommateurs de services et de produits en ligne sur des problématiques de contenus illicites et de désinformation, notamment en responsabilisant les entreprises de commerce en ligne sur ces sujets ainsi qu’en créant un "coordinateur des services numériques" dans chacun des Etats-membres de l’Union Européenne.
Les entreprises sujettes à ce nouveau cadre légal vont devoir se mettre en conformité avec ces nouvelles règles dans le courant de l’année 2023 et repenser leur fonctionnement au regard de ces nouveaux paradigmes.

Contexte.

La scène politique mondiale a été mise à mal ces dernières années par l’émergence d’un nouveau media, internet. Si les pouvoirs publics ont mis du temps à prendre conscience de ses aspects les plus nocifs, l’usage que certaines forces politiques ont pu faire d’internet durant la dernière décennie a mis en exergue l’importance de cet espace d’expression [1]. C’est dans ce contexte global de prise de conscience que l’Union Européenne (UE), les États-Unis et plusieurs autres États ont adopté le 28 avril 2022 une "Déclaration pour l’avenir de l’Internet".

Les soixante pays signataires avaient, par ce geste, exprimé un engagement fort afin de : « faire en sorte que l’Internet reste libre, ouvert, mondial, interopérable, fiable et sûr » [2].

Pour ce qui est de l’Union Européenne, le constat qui a été fait à cette occasion est que seule la directive 2000/31/UE du 8 juin 2000 [3] régissait les services numériques. Il apparaissait comme une évidence que ce cadre devait se moderniser eu égard aux évolutions technologiques et commerciales des vingt dernières années.

La Commission Européenne a donc entrepris l’élaboration d’un cadre juridique à même de répondre aux enjeux actuels en matière de services numériques. Le règlement européen sur les services numériques, mieux connu du public sous son appellation anglo-saxonne (« Digital Services Act ») ou encore sous son acronyme (« DSA »), est l’un des avatars de ce travail de modernisation.

Le Conseil de l’Union européenne a approuvé le règlement européen sur les services numériques le 4 octobre 2022, qui a été publié le 27 octobre 2022 (Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE.).
Cette nouvelle réglementation a une dimension sociétale : lutter contre la dissémination des contenus illicites ou « préjudiciables », comment cela se traduit-il en termes concrets ? Quel est l’objectif du DSA (1) ? Quelles obligations ce règlement met-il en place (2) ? Quelles sanctions risque une entreprise en irrespect de cette norme (3) ? Par ailleurs, quel est son calendrier d’application ? Quelles démarches les entreprises doivent-elles accomplir pour être en conformité avec ce règlement ? (4).

1. Quel est l’objectif du règlement européen sur les services numériques ?

1.a. Objectif poursuivi par le DSA.

Comme indiqué précédemment, l’objectif politique et social à l’origine du DSA est de lutter contre la dissémination des contenus illicites ou « préjudiciables » en mettant en pratique le principe selon lequel « ce qui est illégal hors ligne est illégal en ligne » ; quels grands axes fixe ce règlement afin d’atteindre cet objectif politique ?

Ces axes sont multiples :
 mieux protéger les internautes européens et leurs droits fondamentaux (liberté d’expression, protection des consommateurs...) ;
 renforcer la transparence et la responsabilité des intermédiaires dans la lutte contre les contenus illicites [4] principalement en luttant contre la diffusion de contenus illicites ou préjudiciables ou de produits illégaux attaques racistes, images pédopornographiques, désinformation, vente de drogues ou de contrefaçons... ;
 améliorer la régulation des plateformes numériques ;
 renforcer le contrôle démocratique et la surveillance des très grandes plateformes ;
 atténuer des risques systémiques, tels que la manipulation de l’information ou la désinformation.

1.b. Champ d’application.

Pour ce qui est des acteurs ciblés par ce règlement, le DSA s’applique à tous les intermédiaires en ligne qui offrent leurs services (biens, contenus ou services) sur le marché européen, cela quelle que soit la taille desdits intermédiaires.

Cela inclue :
 les fournisseurs d’accès à Internet (FAI),
 les services de cloud,
 les plateformes en ligne comme les boutiques d’application, les places de marchés (« market places »), les réseaux sociaux, ou encore les plateformes de partage de contenu, de voyage ou d’hébergement.

Il est intéressant de noter que ce règlement fait une distinction entre l’ensemble de ces acteurs et les très grandes plateformes en ligne et moteurs de recherche qui sont utilisés par plus de 45 millions d’Européens chaque mois [5].
Le règlement les définit comme des « very large online platform(s) »/ « très grandes plateformes en ligne » (« VLOP(s) » ou « TGP(s) ») et ces dernières vont être soumises à des obligations supplémentaires.

Si le DSA ordonnance le statut juridique de ces seuls fournisseurs de services intermédiaires, il est d’ores et déjà aisé d’imaginer qu’il aura un impact indirect sur les divers acteurs (entreprises et individus) faisant appel à leurs services.

Quant au champ d’application territorial du DSA , il suit une logique assez similaire à celle du Règlement Général sur la Protection des Données (RGPD) : il va s’appliquer aux entreprises qui proposent leurs services sur le territoire de l’Union Européenne, même si elles ne sont pas établies dans l’Union Européenne. Ces entreprises situées en dehors de l’UE seront par ailleurs tenues de désigner un représentant légal dans l’Union Européenne.

2. Quelles mesures et obligations le DSA met-il en place ?

Le DSA prévoit la désignation par chaque Etat membre de l’UE d’une autorité de coordination pour la mise en œuvre du règlement européen sur les services numériques ainsi que la possibilité pour les autorités des Etats membres et de la Commission européenne d’auditer les acteurs ciblés par ce règlement.

Par ailleurs, le règlement européen sur les services numériques met en place un nombre important d’obligations, graduées selon les acteurs en ligne et leur rôle. Toutes les entités soumises au DSA devront désigner un point de contact unique ou, si elles sont établies en dehors de l’Union Européenne, un représentant légal.

Les autres obligations implémentées par le DSA peuvent être classées en trois catégories : (2.a.) transparence en ligne, (2.b.) lutte contre les contenus illicites et (2.c.) atténuation des risques.

2.a. Transparence en ligne.

Le DSA met en place une obligation de transparence quant aux décisions des intermédiaires caractérisés comme plateformes en ligne en matière de modération des contenus.
Ainsi :
 Ils devront prévoir un système interne de traitement des réclamations permettant aux utilisateurs dont le compte a été suspendu ou résilié (par exemple sur un réseau social) de contester cette décision.
Il est intéressant de noter que les utilisateurs pourront également se tourner vers des organismes indépendants et certifiés dans les pays européens ou saisir leurs juges nationaux pour régler ce type de litige.
 Par ailleurs, ils seront tenus d’expliquer le fonctionnement des algorithmes qu’ils utilisent pour recommander certains contenus publicitaires en fonction du profil des utilisateurs.
Cette obligation est plus développée pour les très grandes plateformes et les très grands moteurs de recherche. Ainsi, les TGPs auront l’obligation de proposer un système de recommandation de contenus non-fondé sur le profilage.
Les TGPs devront en outre mettre à disposition du public un registre des publicités contenant diverses informations (par exemple : l’identité de la personne ou de l’entité ayant parrainé une annonce, par quels moyens et pour quelles raisons une publicité cible une catégorie d’individus...).
 La publicité ciblée pour les mineurs sera interdite pour toutes les plateformes, de même que la publicité basée sur des données sensibles comme la religion ou l’orientation sexuelle (sauf consentement explicite ce qui fait écho aux obligations imposées par le RGPD).
 Les pratiques visant à induire les utilisateurs en erreur (par exemple par la mise en avant de certains choix.) ainsi que les interfaces trompeuses connues sous le nom de "pièges à utilisateurs" (ou « dark patterns ») sont dorénavant prohibées.

2.b. Lutte contre les contenus illicites.

Dorénavant et afin de lutter contre la propagation de contenus illicites en ligne, les intermédiaires en ligne auront :
 l’obligation de proposer aux internautes un outil leur permettant de signaler facilement les contenus illicites.
Les intermédiaires en ligne seront ensuite tenus de retirer ou de bloquer l’accès à ces contenus illicites une fois qu’ils auront été déterminés comme tels, tout en fournissant un exposé des motifs du retrait.
Pour ce faire, ils vont devoir coopérer avec des « signaleurs de confiance ». Le statut de signaleur de confiance sera attribué dans chaque pays à des entités ou à des organisations en raison de leurs expertises. Les intermédiaires en ligne seront tenus de traiter leurs notifications en priorité.
 l’obligation de mieux s’informer sur les vendeurs qui proposent des produits ou services sur leur plateforme.
Cette obligation s’accomplira notamment via le recueil et la vérification d’informations précises sur les vendeurs avant de les autoriser à vendre.

2.c. Atténuation des risques.

Corollaire de la prise de conscience par les pouvoirs publics du rôle majeur que jouent les très grandes plateformes et les très grands moteurs de recherche dans la formation de l’opinion générale ainsi que dans la diffusion de l’information, le règlement leur impose des obligations spécifiques en matière d’atténuation des risques sociétaux [6] qu’ils génèrent (notamment lorsqu’ils permettent la propagation de contenus illicites ou « préjudiciables »).

Ces grands acteurs [7] seront tenus :
 d’analyser tous les ans les risques systémiques qu’ils génèrent (sur la haine et la violence en ligne, les droits fondamentaux, le discours civique, les processus électoraux, etc.) ;
 de prendre les mesures nécessaires pour atténuer ces risques (notamment via le respect de codes de conduite [8]) ;
 d’effectuer tous les ans des audits indépendants de réduction des risques, sous le contrôle de la Commission européenne [9] ;
 de fournir les algorithmes de leurs interfaces à la Commission et aux autorités nationales compétentes ;
 d’accorder un accès aux données clés de leurs interfaces à des chercheurs agréés afin qu’ils puissent mieux comprendre l’évolution des risques en ligne ;
 de mieux protéger les mineurs en ligne.

De plus, le DSA prévoit un mécanisme de réaction aux crises touchant la sécurité ou la santé publique [10] ; en cas de crise, la Commission européenne pourra demander aux grands acteurs une analyse des risques que posent leurs interfaces lorsqu’une crise de ce type émerge et leur imposer pendant un temps limité des mesures d’urgence.

3. Quelles sont les modalités de surveillance mises en place ? Et quelles sont les sanctions prévues par le DSA ?

Afin de surveiller le respect du DSA, un "coordinateur des services numériques" sera nommé dans chacun des vingt-sept pays de l’Union Européenne.
Il s’agira d’une autorité indépendante désignée par chaque État membre [11].
Par ailleurs, les très grandes plateformes en ligne et les très grands moteurs de recherche seront surveillés par la Commission européenne [12].

Pour ce qui est des sanctions prévues par le règlement européen sur les services numériques, les coordinateurs des services numériques et la Commission pourront prononcer des astreintes et des sanctions en cas de non-respect du DSA [13].
Dans le cas des très grandes plateformes et les très grands moteurs de recherche, la Commission pourra infliger des amendes qui pourront aller jusqu’à 6% de leur chiffre d’affaires annuel mondial [14].
Ce plafond est ramené à 1 % s’agissant de certaines infractions (fourniture d’informations tardives, incorrectes, incomplètes ou trompeuses, refus de se soumettre à un contrôle sur place, etc.).

De plus, les plateformes pourront se voir interdire leurs activités sur le marché européen en cas de violations graves et répétées au règlement européen sur les services numériques.

4. Quelles démarches les entreprises doivent-elles accomplir pour être en conformité avec ce règlement ?

Si le règlement européen sur les services numériques est entré en vigueur le 16 novembre 2022, il a établi un calendrier d’application composé de deux échéances majeures :
 a. le 17 février 2023 marque la première étape spécifique aux plateformes en ligne ;
 b. le 17 février 2024 constitue la seconde échéance : il s’agit de la date limite pour tous les services d’hébergement, de mise en cache et de simple conduit offerts aux clients de l’UE, ce qui n’est pas loin du tout dans l’ordre des choses.

4.a- Démarches à avoir accompli au 17 février 2023.

Pour ce qui est des plateformes en ligne :
 elles devront être en capacité de calculer, sur une base continue, le nombre moyen mensuel d’utilisateurs résidents de l’Union Européenne ayant visité leur site au cours des six mois précédant toute demande réglementaire d’informations ;
 de publier ce chiffre sur leur site web ou leur application mobile d’ici le 17 février 2023 [15].

D’un point de vue pratique, cette obligation implique que les plateformes en ligne soient techniquement [16] en mesure de compter leurs visiteurs rétroactivement à partir de la mi-août 2022.

4.b- Démarches à mener avant février 2024.

Le règlement européen sur les services numériques s’appliquera alors pour tous les intermédiaires en ligne offrant leurs services (biens, contenus ou services) sur le marché européen, seuls ou dans le cadre d’autres services. Ces entreprises devront donc avoir implémenté des systèmes, des politiques internes et des processus leur permettant entre autres de :
 répondre de manière appropriée aux ordonnances judiciaires et administratives de retrait de contenu ;
 se conformer à leurs obligations d’audit et de transparence instaurées par le DSA ; et
 répondre aux obligations supplémentaires relatives aux intermédiaires proposant des services d’hébergement, aux les plateformes en ligne, ou encore aux TGPs.

Par ailleurs, les TGPs ont un calendrier spécifique à leurs obligations particulières : ces derniers ont quatre mois après leur désignation en tant que TGPs par la Commission européenne pour se conformer pleinement aux obligations relatives à cette catégorie.

Les enjeux et obligations de ce règlement prennent tout leur sens à l’heure où le conflit Russo-Ukrainien est au cœur du débat public, générant son lot de désinformation et de messages haineux. Il apparait comme une évidence que les hébergeurs ont un rôle essentiel à jouer dans le débat public et qu’il est par conséquent essentiel que ces derniers fassent de leur espace un lieu de respect des droits fondamentaux des utilisateurs. Il sera intéressant de voir si les promesses du DSA seront tenues et s’il parviendra, de par le cadre qu’il instaurera à partir de 2024, à sécuriser et à pacifier le débat public.

Romain Catala, Global Legal Manager & Data Protection Officer https://www.linkedin.com/in/romain-catala-56b74125/