Que change le Digital Services Act en pratique ?

Le Digital Services Act, ou législation sur les services numériques, a commencé à entrer en application. Détail de son fonctionnement et de ses effets attendus.

Entré en vigueur en novembre dernier, le Digital Services Act (DSA), législation sur les services numériques en français, a commencé à entrer en application pour les plus grosses plateformes numériques. Ce texte européen vise à encadrer la relation entre les géants numériques et les consommateurs, tandis que sa législation sœur, le Digital Markets Act, encadre les relations entre plateformes et entreprises qui recourent à leurs services.

Les règlements sur les marchés et les services numériques expliqués :

• Comment le Digital Markets Act va-t-il se mettre en place ?
• Que va changer le Digital Markets Act en pratique ?
• Que change le Digital Services Act en pratique ?

Près de 10 000 plateformes en ligne opèrent sur le marché européen du numérique, selon la Commission européenne, mais une infime partie d’entre elles captent l’essentiel des profits. Par ailleurs, ces services sont le support et les créateurs de risques systémiques pour la démocratie et les sociétés européennes, que ce soit parce que leurs architectures, notamment algorithmiques, participent à propager de la désinformation et des attaques contre les droits fondamentaux des usagers, ou parce que ces plateformes sont utilisées pour échanger des contenus illégaux. C’est pour s’attaquer à ces questions que le DMA et le DSA ont été adoptés par le Parlement européen et le Conseil de l’Union européenne.

Pourquoi avoir créé un règlement sur les services numériques ?

Modernisation d’une partie de la directive du 8 juin 2000 sur le commerce électronique, le DSA vise avant tout à protéger les droits fondamentaux des internautes tels que garantis par la Charte des droits fondamentaux de l’Union européenne : leur liberté d’expression et d’information, les principes de non-discrimination, le respect d’un niveau élevé de protection des consommateurs, etc.

Un autre de ces objectifs est d’atténuer les risques d’ampleur systémique, comme la désinformation, la manipulation de l’information, la diffusion de contenus illicites et réduire les problématiques de cyberviolences. Avec l’aide du DMA, la double réglementation européenne cherche notamment à renforcer la surveillance et le contrôle démocratique sur les plus gros acteurs numériques, le tout pour renforcer la confiance des utilisateurs dans le marché et les services numériques.

Qui est concerné par le DSA ?

Contrairement au DMA qui ne s’appliquera qu’à des acteurs déclarés « contrôleurs d’accès », le DSA concerne toutes les entreprises qui fournissent des services dits « intermédiaires » aux internautes européens, que ceux-ci soient établis dans ou hors de l’Union Européenne précise l’article 2.

L’article 3 du règlement définit les « services intermédiaires » comme :

• des services de « simple transport », soit le fait de fournir l’accès à un réseau de communication ou de permettre la transmission de l’information via un réseau de communication à un destinataire du service ;
• des services de « mise en cache », soit le fait de transmettre de l’information via un réseau de communication en assurant « le stockage automatique, intermédiaire et temporaire de ces informations dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires » de la même demande ;
• des services « d’hébergement », soit le fait d’offrir le stockage des informations du destinataire du service, à sa demande.

En pratique, on parle ici, entre autres, des messageries, des réseaux sociaux, des places de marché (plateformes d’achat et de vente entre professionnels et particuliers, « marketplaces »), de magasins d’applications, etc.

Les obligations prévues par le DSA sont proportionnées à la nature des services, à leur taille, leurs poids et aux risques qu’ils peuvent faire peser sur la société, sur le même principe que le RGPD et le DMA. Ceci implique que les plus gros acteurs numériques – en l’occurrence, les hébergeurs et les plateformes comptant plus de 45 millions d’utilisateurs actifs par mois, c’est-à-dire plus de 10 % de la population européenne - seront soumis aux exigences les plus strictes.

À l’inverse, les microentreprises et entreprises de moins de 50 salariés ou ayant un chiffre d’affaires annuel inférieur à dix millions d’euros sont exemptées de certaines obligations (rapports de transparence, création d’un système interne de traitement des réclamations, etc).

Dans quelle mesure les services intermédiaires sont-ils responsables des contenus ?

Les articles 4, 5 et 6 du règlement détaillent les responsabilités des trois catégories de fournisseurs de services intermédiaires. Le DSA leur maintient une responsabilité limitée envers les contenus diffusés par les plateformes.

Les services « de simple transport » ne sont par exemple pas considérés responsables des informations transmises par leur intermédiaire sous réserve qu’ils ne soient pas à l’origine de la transmission, ne sélectionnent pas les destinataires de la transmission ni ne sélectionnent ou modifient les informations faisant l’objet de la transmission.

Quant aux hébergeurs, ils ne sont pas responsables des informations qu’ils stockent à la demande d’un destinataire tant qu’ils n’ont pas connaissance du caractère illégal de l’activité concernée ou du caractère illicite du contenu et que, dès qu’ils prennent « connaissance ou conscience » d’un éventuel caractère illégal ou illicite, ils « agissent promptement » pour enlever le contenu en question ou y bloquent l’accès.

L’article 8 souligne que les fournisseurs de services intermédiaires « ne sont soumis à aucune obligation générale de surveiller les informations qu’ils transmettent ou stockent ou de rechercher activement des faits ou des circonstances révélant des activités illégales ». L’article 9 statue en revanche que ces acteurs doivent agir dès qu’ils reçoivent une « injonction d’agir » relativement à du contenu illicite.

L’article 10, lui, met en place une obligation de fournir des informations « concernant un ou plusieurs destinataires spécifiques du service » dès que les « autorités judiciaires ou administratives nationales compétentes » le demandent de manière circonstanciée et sous réserve que l’entité ait déjà collecté les informations en question pour fournir son service.

Qu’est-ce qu’un contenu illicite ?

L’article 3 du règlement définit les « contenus illicites » largement, puisqu’il s’agit de « toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union » ou d’un État membre, « quel que soit l’objet précis ou la nature précise de ce droit ».

En pratique, le DSA vise surtout à limiter la propagation et la viralité des contenus de type désinformation, canulars ou manipulation plutôt que de pousser automatiquement à leur suppression, car cela pourrait enfreindre la liberté d’expression. En cela, le DSA exige une révision des mécanismes, notamment algorithmiques, d’amplification en cours sur leurs plateformes.

Il vise aussi à réduire certaines logiques de cyberviolences aggravées et d’activités illégales organisées en ligne. En effet, en cas de soupçon d’infraction pénale « présentant une menace pour la vie ou la sécurité d’une ou de plusieurs personnes », l’article 8 du règlement oblige les plateforme à notifier les autorités répressives ou judiciaires du ou des États membres concernés et à leur soumettre « toutes les informations pertinentes disponibles ».

Quels sont les effets concrets du DSA ?

• Lissage des obligations de notification et de retrait de contenu

Jusque-là variables d’un pays à l’autre, les procédures d’alerte et de retrait de publication illicites ou illégales, par exemple, ne permettaient pas de les supprimer suffisamment rapidement. Le DSA vise à harmoniser ces processus.

• Transparence et information des usagers

L’article 14 du DSA oblige les plateformes en ligne à proposer des conditions générales formulées « dans un langage clair, simple, intelligible, aisément abordable et dépourvu d’ambiguïté ». En cas de modification importante de leurs conditions générales, les plateformes doivent informer les utilisateurs

Les mécanismes de recours et de réparation rendus disponibles aux usagers doivent eux aussi être faciles à trouver et comprendre, en particulier chez les « très grandes plateformes en ligne » et les « très grands moteurs de recherche en ligne ».

En vertu de l’article 15, les fournisseurs de services intermédiaires doivent fournir une fois par an un rapport clair sur leurs éventuelles activités de modération. Ces rapports doivent notamment contenir leur nombre d’utilisateurs et les moyens de modérations (humains et automatiques) déployés.

L’article 27 oblige aussi les plateformes à fournir des explications compréhensibles et simples d’accès sur les grands principes régissant leurs systèmes de recommandations.

• Modération

L’article 16 oblige les fournisseurs de services d’hébergement à faciliter le signalement de contenus illicites par les usagers, en mettant en place un dispositif clair et simple d’accès. Une fois le signalement enregistré, la plateforme doit informer l’internaute de l’état de traitement de sa demande.

En « contrepartie », le DSA prévoit aussi que tout auteur d’un contenu illicite doit être prévenu et obtenir des explications avant le retrait de sa publication (article 17). L’article 20 veille à ce que les services adoptent des systèmes de traitement des réclamations faciles d’accès et d’utilisation. L’article 21, lui, permet aux internautes de contester gratuitement la décision auprès de la plateforme, voire de demander compensation financière s’ils s’estiment lésés.

Ces dispositions apportent notamment des solutions aux problématiques rencontrées par les victimes de cyberviolences, qui peuvent avoir de vraies difficultés à trouver où et comment s’adresser aux plateformes pour trouver de l’aide. Elles répondent aussi, au moins en partie, à la critique récurrente d’influenceurs et de créatrices de contenus quant aux modérations qu’elles subissent, sans explication et vécues comme des censures (en 2021, 14 influenceuses féministes avaient ainsi assigné Instagram en justice pour forcer la plateforme à dévoiler ses méthodes de modération).

L’article 23 intime aux plateformes de suspendre, « pendant une période raisonnable et après avoir émis un avertissement préalable », les utilisateurs qui soumettent « fréquemment des contenus manifestement illicites ».

• Ciblage publicitaire et profilage

Le DSA oblige les fournisseurs de services à permettre au public d’accéder facilement à l’intention et l’identité des annonceurs, au nombre total d’utilisateurs qui ont vu les publicités, leur public cible et leur durée de visibilité (article 26 pour tous les fournisseurs, article 39 pour les plus gros).

L’article 27 oblige aussi les plateformes à proposer aux usagers des systèmes de recommandation alternatifs, activables à volonté. En vertu de l’article 38, les plus grandes plateformes doivent proposer au moins un système de recommandation qui ne soit pas basé sur le profilage.

• Protection des mineurs

Le DSA interdit la publicité ciblant les mineurs et oblige les plateformes à mettre en place des mesure garantissant un « niveau élevé de protection de la vie privée, de sûreté et de sécurité » de ce public spécifique (article 28).

• Responsabilité et protection des consommateurs

L’article 25 du DSA interdit les dark patterns (interfaces truquées pour compliquer l’accès à l’information ou induire les utilisateurs en erreur, etc).

En cas de vente d'un produit ou service illégal, les places de marché en ligne, type Amazon ou Airbnb (qui réunissent vendeurs et acheteurs) devront diffuser les informations nécessaires sur la question, moyens de recours compris, aux clients (article 32).

Quelles sont les obligations spécifiques aux plus grands acteurs ?

Par leur taille, les entreprises comptant plus de 45 millions d’utilisateurs actifs par mois en Europe jouent aussi un rôle important dans les questions de sécurité numérique, de transactions économiques, de diffusion d’information et de formation des opinions politiques (article 33).

En conséquence, l’article 34 du DSA les oblige à analyser chaque année les risques systémiques qu’ils provoquent (en matière de haine et de violence en ligne, de mise en danger des droits fondamentaux, des discours civiques et des processus électoraux, de santé publique, etc). Selon l’article 35 du texte, les gros acteurs doivent ensuite adopter les mesures nécessaires à l’atténuation de ces problématiques (en veillant au respect de leurs politiques d’utilisation, en œuvrant à la suppression des faux comptes, en rendant clair la présence d’information manipulée qui pourrait apparaître à tort comme authentique, etc).

L’article 37 ajoute l’obligation d’effectuer chaque année des audits indépendants de réduction des risques, sous le contrôle de la Commission, tandis que l’article 40 les oblige à donner au coordinateur de services numériques de l’État membre concerné ou à la Commission, l’accès « aux données nécessaires pour contrôler et évaluer le respect » du règlement. Il les oblige aussi à accorder aux chercheurs agréés l’accès aux données clés de leur interface permettant d’analyser l’évolution des risques numériques

Le DSA prévoit par ailleurs un mécanisme de réaction aux crises susceptibles d’influer sur la sécurité ou la santé publique (article 36). En l’espèce, la Commission européenne pourra demander à ces acteurs de réaliser une analyse des risques posés par leurs outils à l’émergence d’une crise puis leur imposer des mesures d’urgence pendant un temps limité.

C’est quoi un signaleur de confiance ?

L’article 22 du DSA oblige les plateformes à travailler avec des « signaleurs de confiance » : des entités, associations ou individus, qui, labellisées au sein de chaque État, sont reconnues pour leur expertise et voient leurs notifications traitées en priorité.

Cela correspond peu ou prou au statut qu’a réussi à se créer en France l’association e-Enfance au fil des ans. Spécialisée dans la protection de l’enfance sur internet, l’association dispose d’un accès simplifié à plusieurs grands acteurs du numérique, ce qui lui permet de faire retirer les éléments de cyberharcèlement les plus graves, notamment à caractère sexuel, rapidement.

Une fois le signalement réalisé, les plateformes doivent rapidement retirer ou bloquer l’accès au contenu illégal.

Qui surveille ?

En vertu des articles 11, 12 et 13 du règlement, les plateformes doivent désigner un ou plusieurs responsables de la conformité au règlement européen, qui serviront d’intermédiaires en cas de besoin. L’article 41 précise les obligations spécifiques aux plus grosses plateformes.

Par ailleurs, trois types d'acteurs sont en charge de la surveillance du respect du DSA :

• Les coordinateurs pour les services numériques

Le DSA crée le statut de « coordinateur pour les services numériques » au sein de chaque État (article 49 et suivants). Celui-ci sera en mesure d’enquêter, de saisir la justice en cas de besoin ainsi que de sanctionner directement les entreprises dans certains cas d’infractions au DSA, en imposant des amendes, une astreinte, ou en demandant à l’autorité judiciaire de leur État d’y procéder.

Ces 27 coordinateurs sont réunis au sein d’un « Comité européen des services numériques », lui-même habilité à mener des enquêtes conjointes. Ce comité aura aussi la charge de soumettre des recommandations à la Commission en cas de besoin d’activer le mécanisme de réponse aux crises.

• Les États membres

Par l’intermédiaire de différentes autorités qu’ils déclarent compétentes, les États disposent du pouvoir de surveillance des petites plateformes.

• La Commission

La Commission détient de son côté le pouvoir de superviser les  plus gros acteurs, a priori une trentaine d’acteurs (article 65 et suivants). Ce système est financé par les plateformes elles-mêmes, en fonction de leur taille, à hauteur de 0,05 % de leur revenu net annuel mondial (article 43).

Comme le rapporte Siècle Digital, certaines critiques auraient préféré que ce rôle soit dévolu à une autorité indépendante spécifique, à la fois pour des questions de moyens et parce que la Commission est un organe politique.

Quelles sanctions ?

En cas de non-respect du règlement ni des mesures provisoires qui lui auront été demandées, la Commission peut infliger aux plus gros fournisseurs de services des amendes s’élevant jusqu’à 6 % du chiffre d’affaires annuel de la société (article 74). Si la plateforme refuse de fournir des informations sur un utilisateur ou fournit des informations incorrectes à la suite d’une demande des autorités, le plafond est fixé à 1 % du chiffre d’affaires annuel.

Pour forcer un très grand fournisseur à répondre à une demande d’information, à se soumettre à une inspection ou à respecter une décision, la Commission peut lui infliger des astreintes allant jusqu’à 5 % des revenus ou du chiffre d’affaires mondial journaliers.

Si un acteur viole de manière grave et répétée le règlement, sa plateforme pourra être interdite d’activité sur le marché européen.

Pour appliquer tout cela, l’Union Européenne pourrait recruter jusqu’à 200 personnes et créer un centre européen de haut niveau sur la transparence des algorithmes, selon Toute l’Europe.

Quel est le calendrier ?

Publié le 27 octobre 2022, le DSA est entré en vigueur dès le 16 novembre 2022. En pratique, il s’applique d’abord aux plateformes et aux moteurs de recherche, qui ont eu pour obligation de publier leur nombre d’utilisateurs actifs avant le 17 février 2023 (Wikipédia tient une liste des entités qui se sont déclarées).

Si, comme l’Apple Store, Google Maps, Booking ou AliExpress, ils comptent plus de 45 millions d’utilisateurs, la Commission les a désigné « très grande plateforme en ligne » (Very large online platforms, VLOP) ou « très grand moteur de recherche en ligne » (Very large Online Search engine, VLOSE) et ceux-ci ont ensuite un délai de quatre mois pour se plier aux obligations du DSA.

Le texte sera applicable pour toutes les autres plateformes 15 mois après son entrée en vigueur – soit à partir du 16 février 2024.

La France travaille actuellement à son application dans le droit national. Sans surprise, Contexte rapporte que selon le texte actuel de la loi d’adaptation du DSA et du DMA au droit national, c’est l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) qui sera désignée coordinatrice pour les services numériques.