Mardi 25 avril, la Commission Européenne a adopté les premières décisions de désignation au titre du nouveau règlement européen sur les services numériques[1] ou règlement « DSA » (pour « Digital Services Act »), désignant ainsi 17 très grandes plateformes en ligne et 2 très grands moteurs de recherche qui disposent désormais de quatre mois pour se conformer aux obligations établies par le règlement.

On en a beaucoup entendu parler, le règlement DSA complète et modifie sur certains aspects la fameuse directive européenne dite « e-commerce » [2] de juin 2000, devenue obsolète sur de nombreux points compte tenu de l’évolution technologique et de la place prise par les nouveaux services de la société de l’information et des services dits « intermédiaires » dans le quotidien des consommateurs et dans l’économie de manière générale.

Avec le règlement DMA (pour « Digital Market Acts[3]), et les récentes initiatives législatives européennes en matière de cybersécurité[4], le Digital Services Act traduit la volonté de l’Union Européenne de se saisir et de réguler les aspects de l’environnement numérique qui échappaient jusqu’à présent à toute réglementation, s’agissant, à la fois de la protection de l’internaute « consommateur », et de la dimension économique et concurrentielle de ce secteur.

Au sein du marché européen, le règlement DSA entend plus précisément lutter contre les contenus illicites, la vente de produits illégaux, la désinformation et les pratiques frauduleuses, en harmonisant les règles applicables aux services dits « intermédiaires » et à leurs fournisseurs : entendre, par là, les services dédiés dans la transmission d’informations fournies par un utilisateur, la fourniture d’accès à un réseau de communication (dont les réseaux sociaux font partie) ou de mise en relation des utilisateurs (plateformes en ligne telles que Le Bon Coin, Vinted, AirBnb…), les services de « mise en cache », les services d’hébergement et de stockage et plus généralement encore, tous les services fournis normalement contre rémunération, à distance par voie électronique dès lors qu’ils sont proposés à des destinataires situés dans l’Union Européenne, et ce, quel que soit le lieu d’établissement du fournisseur[5].

L’objectif global consiste alors à garantir un environnement en ligne plus sûr, dans lequel les droits consacrés par la Charte des droits fondamentaux de l’Union Européenne puissent être protégés, mais capable néanmoins de faciliter l’innovation.

Pour les Institutions de l’Union[6] – au centre desquelles, la Commission Européenne –, il s’agit de retranscrire et d’appliquer le principe selon lequel : « ce qui est illégal hors ligne est illégal en ligne ».

Applicable à compter du 17 février 2024, le règlement DSA s’applique déjà néanmoins, pour certaines de ses dispositions qui concernent les très grands moteurs de recherche et plateformes en ligne qui comptent plus de 45 millions d'utilisateurs dans l'UE[7].

Conformément aux termes de l’article 33§4 du règlement, ce mardi 25 avril, la Commission Européenne a adopté ses premières décisions de désignation des très grandes plateformes en ligne et des très grands moteurs de recherche dont le nombre mensuel moyen de destinataires actifs du service dans l’Union Européenne est égal ou supérieur à 45 millions.

Sont ainsi désignées comme « très grandes plateformes en ligne » : Alibaba Aliexpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wiipedia, Youtube, Zalando. Quant à eux, les « très grands moteurs de recherche » désignés sont Bing et Google Search. Conformément aux termes du règlement, l'ensemble de ces plateformes et moteurs de recherche désignés dispose désormais de 4 mois, à compter de la date de la désignation, pour se conformer pleinement aux obligations particulières que leur impose cette nouvelle législation.

Concrètement, ils ont donc jusqu’au 25 août pour adapter leurs systèmes, leurs ressources et processus de mise en conformité, mettre sur pied un système indépendant de contrôle de la conformité, et surtout, effectuer leur première évaluation annuelle des risques et l'avoir communiquée à la Commission (article 34 du règlement). Parmi les obligations qui pèsent désormais sur eux, trois grandes « familles » se dégagent :

- Les obligations liées à la transparence :

Les entreprises concernées devront notamment répondre sans délai aux injonctions des autorités nationales compétentes à fournir des informations concernant des destinataires spécifiques de leurs services. Il faudra donc qu’elles aient identifié un point de contact unique pour communiquer avec les autorités nationales et européennes désignées.

Les entreprises devront également assurer la clarté de leurs conditions générales en ligne et inclure impérativement, des renseignements précis sur les politiques, procédures, mesures et outils utilisés à des fins de modération, y compris – et c’est innovant – s’agissant des prises de décisions issues d’un algorithme.

Une fois par mois, elles auront également la tâche de produire un rapport de « transparence »[8] placé à la disposition du public et concernant les éventuelles actions de modération des contenus auxquelles elles se sont livrées.

- Les obligations liées à la lutte contre les contenus et les pratiques illicites.

Les entreprises concernées devront mettre en place un mécanisme spécifique de notification pour permettre aux destinataires de leurs services de signaler la présence d’éléments ou d’informations considérés comme du contenu illicite.

En outre, elles seront désormais tenues par une obligation de diligence pour la notification des infractions pénales : lorsque le fournisseur a connaissance d’information(s) conduisant à soupçonner qu’une infraction pénale présentant une menace pour la vie ou la sécurité d’une ou plusieurs personnes est commise ou est susceptible d’être commise, il devra en informer « promptement »[9] les autorités judiciaires ou répressives de l’État membre concerné. Cette obligation renvoie, parmi d’autres exemples nombreux, aux cas de harcèlements en ligne.

Par ailleurs, les fournisseurs auront également pour obligation de suspendre la fourniture de leurs services aux destinataires qui fournissent fréquemment des contenus manifestement illicites.

- Les obligations liées à la protection de l’internaute « consommateur ».

Le règlement dispose en outre que les fournisseurs de plateformes en ligne ne puissent plus, ni concevoir, ni organiser, ni exploiter leurs interfaces en ligne de façon à tromper ou à manipuler les destinataires de leurs services, ou – et c’est une approche pour le moins élargie – « de toute autre façon propre à altérer ou à entraver substantiellement la capacité des destinataires de leur service à prendre des décisions libres et éclairées ».

De nouveaux garde-fous entoureront également la publicité sur les plateformes en ligne, dans le but d’améliorer l’information des internautes : ces derniers devront notamment pouvoir se rendre compte que les informations concernées consistent en de la publicité y compris, si nécessaire, par le biais de marquages bien visibles. Il s’agit par ce biais d’écarter les « pièges à utilisateurs ».

Commissaire au marché intérieur, Thierry Breton a révélé au média EURACTIV[10] qu’il ne s’agissait que de la première série de plateformes à être désignées, la Commission enquêtant encore sur plusieurs autres plateformes pour lesquelles une décision finale devrait être prise dans les semaines à venir.

Et, lors de la conférence de presse, Monsieur Breton a également confirmé que Twitter faisait partie des plateformes particulièrement surveillées par la Commission Européenne.

Pour certains observateurs[11], la plateforme Twitter ne serait ainsi pas en mesure de se conformer à la nouvelle réglementation européenne, n’excluant plus, de ce fait, sa sortie prochaine du marché européen.

Au centre des inquiétudes, la nouvelle direction prise par la Plateforme récemment rachetée par Elon Musk, pour laquelle la conformité réglementaire ne serait pas la priorité.

La question de sa sortie du marché européen pourrait ainsi se poser plus tard dans l’année, lorsque Twitter sera contraint, au même titre que les plateformes et moteurs de recherche désignés, de publier sa première évaluation des risques.

Les très grandes plateformes en ligne et très grands moteurs de recherche n’échappent donc pas à ces nouvelles règles et ont, au contraire, une place à part au sein du règlement DSA dont l’application sera dument contrôlée par la Commission Européenne.

Serions-nous à l’aube d’un nouveau tournant pour la régulation du numérique ? C’est en tout cas ce qu’annoncent fermement Margrethe Vestager, Commissaire européen à la concurrence, et Thierry Breton, commissaire au marché intérieur.

LAURA PETIOT

TOUS DROITS RESERVES

[1] PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE.

[2] PE et Cons., dir. n° 2000/31, 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (directive sur le commerce électronique).

[3] PE et Cons., règl. n° 2022/1925, 14 sept. 2022, relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828.

[4] Voir notamment : PE et Cons. UE, dir. n° 2020/0359, 14 déc. 2022, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

[5] En préférant le choix du pays de destination plutôt que celui du lieu d’établissement du prestataire/fournisseur, les Institutions de l’UE ont balayé une difficulté majeure liée à l’applicabilité du règlement.

[6] Cons. UE, communiqué de presse n° 887/21, 25 nov. 2021.

[7] Calculé sur la base des données relatives aux utilisateurs que les plateformes et moteurs de recherche devaient publier au plus tard le 17 février 2023.

[8] PE et Cons., Règl.n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques art. 15, qui prévoit une liste d’informations obligatoires à mentionner dans les rapports de transparence.

[9] PE et Cons., Règl.n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques art. 18.

[10] https://www.euractiv.fr/section/economie/news/digital-services-act-la-commission-annonce-les-premieres-plateformes-qui-seront-soumises-a-un-regime-plus-strict/

[11] Au rang desquels, notamment, Rebekah Tromble, Directrice de l’Institut pour les données, la démocratie et la politique de l’Université George Washington, ayant déclaré au média EURACTIV : « Twitter n’a pas la capacité de commencer à entreprendre les évaluations de risques requises. S’ils ne produisent rien, ils en ont probablement terminé en Europe »