Au Journal officiel, un décret est venu fixer les seuils de connexions à partir desquels les plateformes en ligne comme Twitter ou Facebook sont désormais soumises à des obligations dites « renforcées » dans la lutte contre la diffusion de contenus illicites. Inventaire de ces obligations, issues du « Digital Services Act » à la française.
Le 18 juin 2020, les principales dispositions de la loi Avia avaient été réduites en cendres à la porte du Conseil constitutionnel. Les neuf Sages avaient détecté ce que la députée LReM refusait d’admettre : de lourdes atteintes à la Déclaration des droits de l’Homme de 1789.
Quand le législateur espérait obliger les plateformes à supprimer les contenus manifestement illicites dans les 24 heures, le Conseil notait que le dispositif allait aussi conduire les intermédiaires à retirer d’autres propos parce qu’ils ont simplement fait l’objet d’un signalement :
« Compte tenu des difficultés d’appréciation du caractère manifestement illicite des contenus signalés dans le délai imparti, de la peine encourue dès le premier manquement et de l’absence de cause spécifique d’exonération de responsabilité, les dispositions contestées ne peuvent qu’inciter les opérateurs de plateforme en ligne à retirer les contenus qui leur sont signalés, qu’ils soient ou non manifestement illicites. Elles portent donc une atteinte à l’exercice de la liberté d’expression et de communication qui n’est pas nécessaire, adaptée et proportionnée »
Le cœur du texte ayant été frappé, les autres mesures qui lui étaient adossées tombèrent comme un domino, en particulier celles qui envisageaient d’imposer des obligations dites « de moyens » aux opérateurs de plateforme comme YouTube ou Twitter.
Le DSA à la française
Ces obligations ont cependant réapparu au détour d’un autre texte : le projet de loi Séparatisme, finalement publié au Journal officiel le 25 août dernier sous le nom de « loi confortant le respect des principes de la République ».
Il prévoit en substance que ces intermédiaires doivent mettre en œuvre une série de procédures et des moyens humains et technologiques proportionnés pour lutter contre toute une série de contenus illicites, allant de la répression de l'apologie des crimes contre l'humanité à la provocation à la commission d'actes de terrorisme et de leur apologie, en passant par l'incitation à la haine raciale, à la haine à l'égard des personnes à raison de leur sexe, jusqu’aux contenus pornographiques ou violents accessibles aux mineurs…
Sur amendement gouvernemental, le législateur a adopté rapidement ces dispositions en se plaçant dans le sillage d’une réglementation en cours d’examen devant les instances européennes, le Digital Services Act. Une manière d'anticiper le droit à venir, en prenant le risque de s'écarter du droit existant. Un DSA devenu sujet majeur à l'occasion de la présidence française de l'UE.
Plus exactement, le texte français désormais en vigueur sera applicable au plus tard jusqu’au 31 décembre 2023, le temps que le chantier européen aboutisse. Un chantier européen qui prévoit aussi plusieurs obligations de moyens, comme rappelé dans nos explications ligne par ligne.
Pour le DSA à la française, le législateur a renvoyé à un décret le soin de définir les paliers d’activation de la longue liste des fameuses obligations de moyens. Ce décret a été publié ce week-end au Journal officiel. Il prévoit deux seuils : l’un relatif aux obligations renforcées pesant sur les grandes plateformes, l’autre ajoute d’autres poids sur les épaules cette fois des très grandes plateformes.
Les obligations renforcées pour les grandes plateformes
C’est à partir du seuil de 10 millions de visiteurs uniques par mois « depuis le territoire français », que les opérateurs devront respecter la longue série d’obligations de moyens dressée par la loi Séparatisme.
Les plateformes concernées devront :
- Mettre en œuvre des procédures et des moyens humains et technologiques proportionnés permettant :
- D’informer, dans les meilleurs délais, les autorités judiciaires ou administratives des actions qu’ils ont mises en œuvre à la suite des injonctions reçues
- D’accuser réception sans délai des demandes des autorités judiciaires ou administratives tendant à l’identification des utilisateurs
- De conserver temporairement les contenus signalés qu’ils ont retirés
- Désigner un point de contact unique
- Mettre à la disposition du public, de façon facilement accessible, leurs CGU où « ils y décrivent en termes clairs et précis leur dispositif de modération visant à détecter, le cas échéant, à identifier et à traiter ces contenus, en détaillant les procédures et les moyens humains ou automatisés employés à cet effet ainsi que les mesures qu’ils mettent en œuvre affectant la disponibilité, la visibilité et l’accessibilité de ces contenus »
- Rendre compte au public des moyens mis en œuvre et des mesures adoptées pour lutter contre la diffusion des contenus haineux
- Mettre en place des dispositifs d’alertes
- Mettre en œuvre des procédures et des moyens humains et technologiques proportionnés permettant
- D’accuser réception sans délai des notifications visant au retrait d’un contenu
- De garantir l’examen approprié de ces notifications dans un prompt délai
- D’informer leur auteur des suites qui y sont données
- D’en informer l’utilisateur à l’origine de sa publication, si ces acteurs décident de retirer (même si le contenu est pédopornographique ou terroriste…). Les raisons sont données et il est informé des voies de recours
- Mettre en œuvre des dispositifs de recours interne permettant de contester les décisions relatives aux contenus (retrait ou non)
- Exposer dans leurs conditions d’utilisation, en des termes clairs et précis, ces procédures de retrait, pouvant conduire à des résiliations de compte pour les cas les plus graves (car répétés)
- Pour les acteurs dépassant un seuil de connexion, évaluer les risques systémiques liés à leurs services. Ils devront mettre en place des mesures destinées à atténuer les risques de diffusion des contenus illicites rattachés à la liste.
- Rendre compte au CSA des procédures et moyens
Ces moyens proportionnés, avec obligation de reporting devraient permettre de mieux jauger les moyens mis en oeuvre en France par Facebook, Google, mais aussi Twitter, service qui dispose, pour faire face à des millions de posts quotidiens, de 1 867 modérateurs dans le monde (soit un modérateur pour 200.000 internautes), épaulés par des solutions d'IA (et donc des traitements automatisés des signalements).
Le CSA, devenu ARCOM depuis le 1er janvier, sera le gendarme de ces obligations. Il pourra même sanctionner les intermédiaires qui ne se conformeraient pas à ses mises en demeure avec, à la clef, une amende maximale de 20 millions d’euros, ou 6 % du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu).
Les obligations additionnelles pour les très grandes plateformes
Le second seuil a été fixé à 15 millions de visiteurs uniques par mois depuis le territoire français. Cette fois, les opérateurs concernés devront :
- Évaluer chaque année les risques systémiques liés au fonctionnement et à l'utilisation de leurs services en matière de diffusion des contenus illicites, en évoquant aussi les atteintes aux droits fondamentaux, notamment à la liberté d'expression. Une évaluation qui devra tenir compte « des caractéristiques de ces services, notamment de leurs effets sur la propagation virale ou la diffusion massive des contenus susvisés ».
- Mettre en œuvre « des mesures raisonnables, efficaces et proportionnées », visant à atténuer les risques de diffusion des contenus prohibés. Mais ils devront aussi veiller à prévenir les risques de retrait non justifié.
- Enfin rendre compte au public de l'évaluation de ces risques systémiques et des mesures d'atténuation, avec des modalités fixées par l'Arcom.
Là encore, l'Arcom pourra mettre un opérateur en demeure de se conformer aux dispositions de la loi française, outre de répondre aux demandes d'informations. Il pourra aussi rendre publiques chacune de ces décisions, publications qui seront proportionnées à la gravité du manquement.
Une entorse à la règle du pays d'origine
Lorsque la France a notifié ce texte à la Commission européenne, Paris a prévenu Bruxelles que ces obligations seront « imposées aux opérateurs qu’ils soient établis ou non sur le territoire français ».
En retour, la Commission a dénoncé le risque d'une « fragmentation croissante » au point qu’il soit désormais difficile « de garantir que tous les Européens bénéficient d'un niveau comparable de protection efficace en ligne ».
Elle avait ajouté que le dispositif français « est susceptible de créer des restrictions à la libre prestation transfrontalière de services de la société de l’information établis dans un autre État membre ». Sans être vraiment convaincue de cette exception à la directive e-commerce de 2000.
Un texte qui encadre la responsabilité de ces intermédiaires où c'est, en principe, la loi du pays d'origine du service qui s'applique, non celle du pays de destination, là où sont les internautes visés.
On imagine en effet sans mal le sac de noeuds si chacun des pays européens adopte, à l'image de Paris, une législation extensive pour imposer une série d'obligations non harmonisées aux acteurs du numérique, peu importe leur lieu d'installation.
Un joli sujet que saura à coup sûr défendre la France durant sa présidence de l'UE.
Commentaires (13)
#1
« depuis le territoire français » si j’étais responsable de ces plateforme, je bloquerais toute ip à consonance française.
#1.1
c’est deja assez courant pour de petit(s) site(s) web
#2
Je sens aussi qu’on va rigoler avec la définition de “visiteur unique”. Est-ce qu’on ne compte que les visiteurs identifiés ? Un utilisateur se connecte depuis 3 appareils. Ca compte comme 1 visiteur ou comme 3 ?
Quid des non identifiés ? On ajoute des cookies traceurs ? Du coup, si la personne refuse de donner son consentement, on fait comment ? On compte 1000x fois une personne ou on ne la compte pas ?
C’est également une porte ouverte pour passer outre le consentement pour les cookies, dans la mesure où il pourrait devenir un moyen de répondre à une obligation légale….
Et faut-il compter dans les visiteurs ceux qui visite de manière indirecte, par exemple, un article dans un journal qui republierait une série de tweets ?
Ces questions sont importantes car mine de rien, si on considère les visiteurs uniques seulement comme les abonnés se connectant par exemple, je ne pense pas que Twitter atteigne la limite des 10 millions (cela m’étonnerait qu’un résident sur 6 du territoire français utilise twitter).
#3
C’est en somme le résumé du mandat de Macron et de ses prédécesseurs: européiste quand ça arrange les potes pour s’enrichir, eurosceptiques dès qu’on parle de droits humains …
#4
C’est pas si mal, les plateformes web se retranchent tout le temps derrière le “y’a trop de contenu, on peut pas surveiller”
Soit, mais quand tu dénonces un truc ils ne font rien.
Quelques exemples perso :
-FB, 10 invites de p par an avec un profil bidon à boobs et un lien vers un site de rencontre ou un onlyfan. Je signale systématiquement. 3⁄4 du temps le profil est encore là 4 jours après
-LinkedIn, décès d’un proche. J’utilise la procédure de signalement en envoyant les justificatifs. 3 ans après, rien, toujours rien.
-Binance, 20 jours que j’essaye de revérifier mon identité sans succès, l’App n’envoie pas le SMS final et reviens à l’écran précèdent. Testé sur 2 téléphones, avec 2 numéros. 2 semaines de ticket au support et toujours rien. On me dit de tester avec mon passeport à la place de la CNI. Évidemment ça ne change rien. J’envoie un record vidéo, le service client me dit ok effectivement y’a un problème on transmet. Je relance tt les 2 jours et toujours level 1 du support. Même des services gratuits ont de bien meilleurs supports.
Imaginez que demain Total ou Shell dise “bah nous on vend trop de litres de carburant lol, on peut pas vérifier le niveau d’octane et de souffre”
Donc il est normal que les législateurs commencent à lever la voix.
Un service comme steam avec des millions d’utilisateurs est bien plus fonctionnel, même pour les comptes qui n’ont jamais dépensés 1€
#5
On rira moins si tout le monde suit l’exemple français…
Si tous les pays d’europe commencent à venir chacun avec leurs petites règles, on verra pas mal de contenus se faire saquer: contenus de presse, contenu politique, contenu classé “woke”, contenu considéré comme choquant pour les cathos, contenu considéré comme choquant pour les musulmans, contenu expliquant des procédures administratives (en Hongrie, aider un migrant à faire valoir ses droits, comme par exemple l’aider à remplir un formulaire, c’est un crime), …
On ne peut pas fonctionner avec un système qui impose chaque lubie, chaque frustration, chaque relent haineux des gouvernements des pays de l’U.E. à tous les citoyens européens.
Il faut un socle commun et se tenir à ce socle.
#5.1
Effectivement, impossible d’avoir la même loi partout.
Mais comme on est pas une fédération intergalactique c’est ainsi.
Il y a des exemples technique de ce genre de chose. Windows N sans media player en Corée du Sud, ce matin une brève parle de la loi sur le paiement ouvert aux pays-bas et son effet chez Apple.
“Quant aux sociétés présentes sur le marché international avec leurs applications, elles devront compiler une version spécifique pour les Pays-Bas, le changement n’étant valable que là-bas”
On peut ne pas être d’accord avec chaque pays. Mais aujourd’hui d’un côté on a des fournisseurs qui se permettent de fouiller automatiquement ton iPhone ou ton Gdrive pour chercher du pedoporno, des plateformes qui suppriment les vidéos de décapitation, et c’est là le plus petit pallier commun.
Le reste ils n’en n’ont rien à faire sauf loi, surtout quand ça rapporte des vues.
Des propos intéressants sur les effets secondaires des vaccins COVID, comme le volume de péricardites, se retrouvaient bannis de FB ou LinkedIn.
Pendant ce temps tout les gogols qui faisaient du TikTok youtube Twitch en montrant du métal sur l’épaule et en disant le vaccin nous a rendu aimanté/bluetooth/5G euh ils ont collecté leur fric et personne ne les a embêté.
Et ça a decridibilisé les personnes qui voulaient soulever de vrais points scientifiques, comme si ça arrangeait tout le monde…
Combien de personnes qui vendent de la drogue sur snap ont reçu de la visite des hommes en bleu à 6h du matin?
Tout ça pour dire que de toute façon la monétisation des contenus et/ou la publicité et le volume de trafic gagnera toujours. Quand FB a été accusé de dérive pro Trump par son algorithme c’est juste car sa apporte des vues, c’est pas une volonté politique des machines.
Petit à petit le niveau éditorial de tout média, pour peu qu’il y en est un, devient du simple putaclic.
Il suffit de voir la gestion des présidentielles en ce moment. Chaque candidat reçoit exactement les mêmes questions en allant faire 10 radios et 10 tv dans la semaine. Questions qui sont liés à l’ordinalité des hashtags de tendance Twitter bien souvent. Super la diversité de la presse.
Personnellement je trouve que l’obligation de moyens est un 1er pas intéressant pour dire “vous devez ASSUMER votre volume de trafic”
#5.2
On est pas une fédération galactique, on est l’Union Européenne (à ne pas confondre avec une hypothétique union entre les pays-bas et la corée du sud), on doit agir au niveau européen si on veut des règles applicables dans tous les états membres.
Je parle de risque pour la liberté d’expression.
Au passage, le coup des paiement intra-application n’a strictement rien à voir avec ce sujet, ce qui est demandé à Apple, c’est de ne pas censurer.
Au passage aussi, si tu regardais un peu plus l’U.E. tu saurais que l’U.E. pousse justement les opérateurs de messageries à analyser les communications privées : https://www.euractiv.com/section/data-protection/news/new-eu-law-allows-screening-of-online-messages-to-detect-child-abuse/
A force de se tromper de combat et de ne pas s’occuper de ses droits fondamentaux, on fini par les perdre.
#5.3
L’espionnage se fait déjà, ma maison a été sur écoute dans les années 80 car un membre de la famille fréquentait la fille d’un ministre, rien de nouveau.
Alors oui aujourd’hui on veut ingérer à grande échelle pour du “Big data” et il y a des dérives, parfois stoppés à temps comme la semaine passée dans le secteur juridico médical.
Mais qui en sait le plus ? Si chacun se pose la question ? Google ? VISA ? FB ? Son gouvernement ? Ça dépend de chacun et du pays.
Le seul moyen de se couvrir et d’utiliser des applications saines et d’encourager les autres à y venir.
Combien sont restés sur Signal 6 mois après la panne de Whatsapp ?
On se lève contre les gouvernements mais pas les GAFAM.
Personnellement entre les 2 je n’ai pas de préférence, si ce n’est que le gouvernement met la loi de son côté et c’est à terme liberticide.
Je considère que la vie privée est déjà morte pour l’immense majorité des gens car ils ne se préoccupent pas du tout du sujet.
C’est toujours la même chose, ton exemple cité child abuse, ça aurait pû être IS-IS terrorism.
Mais demain ?
Internet c’était formidable, maintenant c’est un enjeu de pouvoir car il s’y passe autant de choses qu’en dehors. Fini les écoutes au micro caché dans la VMC.
Moi j’aimerais qu’on règlemente les zinzins qui racontent n’importe quoi en les demonetisant. Mais ça ou autre chose la marche juridique est inéluctable.
Heureusement il reste des outils pour communiquer librement, mais la majorité des gens veulent t il être libres ? C’est consternant mais c’est la réalité
#6
J’attends le moment où une des grande plateforme va commencer à bloquer les IP françaises.
On a commencé à le voir légèrement avec l’ARJEL et certains sites de jeu en ligne, mais c’était anecdotique.
#7
Non, pour les grandes plateformes, la réponse sera plutôt: “on se revoit devant la cour européenne de justice pour voir comment ça se goupille dans le marché unique”
#8
A mon sens, même si je suis d’accord que les écoutes téléphoniques est quelque chose d’abject, il y a une différence entre une écoute ciblée qui vise une personne précise et son entourage pour une raison précise, et un système de “chalutage” qui lis et écoute systématiquement tout le monde dans un objectif d’abord de fichage “préventif” globalisé , puis ensuite d’exploitation au regard des actualités du moment.
L’un des souci étant qu’on ne peux pas faire confiance aux fonctionnaires et à leur administration pour ne cibler que les faits consensuels , notamment le terrorisme:
Vu que ce ne sont que des outils, ça implique que derrière on peux tout autant les utiliser pour cibler ceux qui représente un danger non pas à la société dans son ensemble mais à leurs dirigeant ou à leur vision de la société.
J’ai cité les mouvements de contestations concrets (Extinction-Rebellion, Greenpeace,les ZAD, anti-bure,Tarnac,…) mais aussi toute les formations politiques informelles ou non, les contestations sociales (lié par exemple à des remise en question de pôles économiques),…
A partir du moment où les citoyens sont considérés comme des ennemis (voire simplement des moutons) à “emmerder” , ben là c’est un point de bascule - en tous cas c’est mon point de vue.
#9
Tu peux utiliser un outil A pour en démonter un autre B, cela ne dit pas qui exactement te flique ou te protège en utilisant A.
A la différence du privé (B), le public (A) a un droit à l’erreur : on se demande d’ailleurs comment le code pénal peut discrétiser des atteintes spécifiques aux fonctionnaires qui ne s’appliquent pas aux citoyens alors que la violence morale n’a pas de préférence, elle.
D’un autre côté le citoyen veut être gouverné, quitte à voter par réponse à une provocation. C’est surtout ici, la bascule.
Qu’un mal inconnu le dise cruement ne change pas beaucoup la situation : cela ne fait que confirmer l’inadaptation chronique du poste mutualiste à une societé individualiste. Tous les échelons sont donc prêts à tolérer sa banalité…