Ce qu’il faut retenir
(2è partie) Le Digital Services Act (DSA) est pleinement applicable depuis février 2024. Hébergeurs, plateformes et marketplaces doivent se conformer à des obligations renforcées en matière de responsabilité, de transparence et de gestion des contenus.
Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-dsa-et-conformite-des-services-numeriques-ce-que-doivent-savoir-les-hebergeurs-plateformes-et-marketplaces-2e-partie
Ce qu’il faut retenir
Le Digital Services Act (DSA) est pleinement applicable depuis février 2024. Hébergeurs, plateformes et marketplaces doivent se conformer à des obligations renforcées en matière de responsabilité, de transparence et de gestion des contenus.
Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-dsa-et-conformite-des-services-numeriques-ce-que-doivent-savoir-les-hebergeurs-plateformes-et-marketplaces-1ere-partie
Le droit européen du numérique est sur le point d’être profondément réformé avec l’adoption dans les semaines à venir du Règlement sur les marchés numériques (Digital Markets Act - DMA) puis du Règlement sur les services numériques (Digital Services Act - DSA), pour une entrée en vigueur qui devrait intervenir début 2023. Un accord sur le texte définitif du DMA a été trouvé à l’issue du trilogue entre des représentants du Parlement, du Conseil et de la Commission le 24 mars. Le DSA est également en cours de discussions finales. (1)
Ces deux textes ayant des objectifs distincts, nous avons présenté le DMA dans un premier article et présentons les principales dispositions du DSA ci-après.
Ce qu’il faut retenir
L’objectif du DSA est de réguler les fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin d’améliorer la lutte contre les contenus illicites et la propagation de fausses informations.
Les règles de responsabilité des “intermédiaires en ligne” ne sont pas profondément modifiées mais sont aménagées pour prendre en compte l’évolution des services numériques et harmoniser la réglementation dans l’Union européenne.
Le DSA prévoit la mise en place de nouvelles procédures de contrôle avec un système de modération des contenus par les plateformes plus transparent, une meilleure identification des vendeurs professionnels par les plateformes, ainsi que des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne
Enfin, de nouvelles autorités de contrôle seraient créées au niveau des Etats-membres et au niveau communautaire (Comité européen des services numériques - CESN).
1. Objectif et champ d’application du DSA
Le champ d’application du DSA est plus étendu que le DMA, puisqu’il concerne un large éventail de fournisseurs de services “intermédiaires” en ligne, alors que le DMA se concentre principalement sur les GAFAM (les “contrôleurs d’accès”). (2)
Depuis plusieurs années, la Commission européenne et les tribunaux nationaux tentent d’imposer aux fournisseurs de services en ligne un meilleur contrôle des contenus et produits illicites diffusés et vendus par leur intermédiaire. Jusqu’à présent, les avancées sont restées très limitées, les fournisseurs de services concernés se retranchant derrière la règlementation en vigueur dans leur propre juridiction ou dans l’Union européenne.
L’objectif du DSA est de réguler les fournisseurs de services numériques, ou fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations et in fine, améliorer la qualité des contenus et la confiance des utilisateurs. Ces nouvelles obligations seront cependant adaptées en fonction de la taille du fournisseur de services concerné.
Les contours de la responsabilité des “intermédiaires en ligne” sont redéfinis afin d’améliorer et d’harmoniser la lutte contre les contenus et les produits contrefaisants et illicites (services et produits contrefaisants, contenus à caractère haineux, pédopornographique, terroriste, fausses informations), accessibles en ligne.
Les fournisseurs de services intermédiaires couverts par le DSA recouvrent plusieurs catégories de prestataires de services complémentaires, depuis :
- les fournisseurs de services de “simple transport”, tels que les fournisseurs de services internet,
- les fournisseurs de services de “mise en cache”, consistant à transmettre des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information, dans le but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires, et enfin
- les fournisseurs de services d’”hébergement” comprenant notamment les services cloud, les plateformes d’applications (app stores), plateformes de partage de contenus et d’intermédiation, places de marché, réseaux sociaux, etc.
Des discussions sont en cours pour inclure les moteurs de recherche dans le champ du DSA.
2. Un ajustement du régime de responsabilité des fournisseurs de services
Actuellement, le régime de responsabilité applicable aux acteurs de l’internet est binaire. Hormis les fournisseurs d’accès à internet et les fournisseurs de services de mise en cache qui ne sont pas en principe responsables des contenus, les sites web tels que les sites de e-commerce ou les sites d’information, sont globalement soumis au régime des éditeurs, responsables du contenu qu’ils mettent en ligne. D’autre part, les hébergeur techniques, qui hébergent des contenus tiers, mis en ligne par les utilisateurs du service sont soumis à un régime de responsabilité atténuée. Non soumis à une obligation générale de surveillance des contenus hébergés, leur responsabilité est limitée au retrait des contenus manifestement illicites, suite à leur notification par un tiers ou imposé par un juge.
Le DSA ne modifie pas fondamentalement ce système de responsabilité, défini par la directive commerce électronique de juin 2000 (3), mais l’aménage afin de prendre en compte l’évolution des services numériques et d’harmoniser la réglementation dans l’Union européenne.
Ainsi, les fournisseurs de services intermédiaires restent soumis à un régime de responsabilité aménagé pour les contenus mis en ligne par leurs utilisateurs. Comme dans la réglementation actuelle, ces services ne sont pas soumis à une obligation générale de surveillance des contenus, ni de recherche active des faits. (Art. 7 et s. DSA) La notification de contenus illicites aux fournisseurs de services d’hébergement devra être suffisamment précise et dûment motivée. La réception de ces notifications par les hébergeurs signifie qu’il prennent connaissance du caractère illicite du contenu notifié et qu’ils doivent alors traiter ces notifications “en temps opportun, de manière diligente et objective”. (art 14 et s.)
Les fournisseurs de services intermédiaires devront désigner un point de contact unique pour permettre une communication directe avec les autorités des Etats-membres, la Commission et le Comité européen des services numériques. Si le fournisseur de services ne dispose pas d’établissement au sein de l’UE, il devra alors nommer un représentant dans l’un des Etats-membres comme point de contact avec les autorités. (art. 10)
3. La mise en place de nouvelles procédures de contrôle
3.1 Un système de modération des contenus par les plateformes plus transparent
La Commission européenne souhaite établir un contrôle plus strict des règles de modération des contenus par les plateformes pour assurer un traitement non arbitraire et non discriminatoire des contenus supprimés, et plus de transparence sur le fonctionnement des algorithmes utilisés pour identifier et supprimer les contenus illicites et les fausses informations (“infox”).
A cette fin, les plateformes devront publier un rapport annuel “clair, transparent et facilement compréhensible”, détaillant leur activité en matière de modération des contenus. (art. 13) Les micro-entreprises et PME seraient toutefois exemptées de cette obligation.
3.2 Une meilleure identification des vendeurs professionnels par les plateformes
Le renforcement de la sécurité des produits et services proposés à la vente passe par l’amélioration de l’identification, et de la traçabilité des vendeurs professionnels par les plateformes.
A cette fin, le DSA prévoit la mise en place d’un système de connaissance du client commercial (professionnel) par les fournisseurs de services, dont les places de marché. Ce système de “KYBC” (Know Your Business Customer), déjà utilisé dans d’autres secteurs de l’économie, consistera pour les fournisseurs de services, à collecter une série d’informations plus étendue concernant les vendeurs professionnels dont leurs coordonnées (nom, adresse, etc.), un extrait Kbis ou équivalent et une déclaration par laquelle le professionnel s’engage à ne fournir que des produits ou services licites et conformes aux règles communautaires.
Ces informations, qui devront être contrôlées par les fournisseurs de services, ont pour objet de responsabiliser les vendeurs professionnels, à renforcer la protection et la confiance des consommateurs, et enfin à faciliter les poursuites judiciaires en cas de vente de produits ou services illicites ou contrefaisants. (art. 22)
3.3 La création de nouvelles autorités de contrôle
Au niveau national, la mise en oeuvre des obligations imposées par le DSA et le suivi de la conformité des fournisseurs de services seront contrôlés par de nouvelles autorités compétentes, les coordinateurs pour les services numériques, sauf si l’État membre concerné a assigné certaines missions ou certains secteurs spécifiques à d’autres autorités compétentes. (art. 38 s.)
Un Comité européen des services numériques (CESN) est créé avec pour mission d’assurer la surveillance des fournisseurs de services intermédiaires et de conseiller les coordinateurs pour les services numériques et la Commission. (art. 47 s.)
4. Des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne (TGPF)
La définition des très grandes plateformes en ligne diffère de celle des contrôleurs d’accès du DMA. Les très grandes plateformes (“TGPF” ou “VLOP”) sont les plateformes disposant de plus de 45 millions de membres actifs dans l’Union européenne. (art. 25) Ce seuil, représentant 10% de la population de l’UE, sera adapté en fonction de son évolution.
Ces très grandes plateformes seront tenues à une série d’obligations supplémentaires pour prendre en compte les risques systémiques posés par leur taille pour les conséquences notamment, de la dissémination de fausses informations.
Parmi ces obligations, on retiendra notamment l’établissement d’un rapport annuel d’évaluation des risques ainsi que la réalisation d’audits indépendants. (art. 26 et 27)
Le rapport annuel d’évaluation des risques porte sur le fonctionnement et l’utilisation de leurs services au sein de l’UE, y compris la diffusion de contenus illicites par leur intermédiaire, et les effets négatifs pour l’exercice des droits fondamentaux (respect de la vie privée, liberté d’expression et d’information, interdiction de la discrimination, droits de l’enfant).
Des audits indépendants devront être organisés au moins une fois par an pour évaluer le respect de leurs obligations et des engagements pris en vertu de codes de conduite.
Les très grandes plateformes devront également mettre en place de mesures d’atténuation des risques (mitigation), adaptées aux risques systémiques identifiés et seront soumises à une obligation de transparence des systèmes de recommandations (algorithmes).
Enfin, les très grandes plateformes devront désigner un ou plusieurs responsables de la conformité dans l’Union européenne, en charge de contrôler le respect du règlement. (art. 32)
Une liste des très grandes plateformes sera publiée et actualisée afin d’en permettre une identification claire.
5. Des sanctions dissuasives
Deux régimes de sanctions sont prévus par le DSA suivant qu’elles s’appliquent aux fournisseurs de services intermédiaires ou aux très grandes plateformes.
Concernant les fournisseurs de services intermédiaires, le montant maximum des amendes pouvant être imposées par les coordinateurs pour les services numériques ou les tribunaux doit être fixé par chaque Etat-membre, sans pouvoir dépasser 6% des revenus ou du chiffre d’affaires annuel du fournisseur de services en cas de non conformité au DSA, ou 1% des revenus ou du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés. (art. 42)
Concernant les très grandes plateformes, les amendes pourront atteindre jusqu’à 6% du chiffre d’affaires annuel réalisé par la très grande plateforme au cours de l’exercice précédent en cas de non conformité au DSA, ou 1% du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés, en réponse à une demande de la Commission. (art. 59)
6. Les modifications apportées par le Parlement européen
Lors de l’examen du DSA par le Parlement européen, les députés ont introduit quelques modifications au projet de règlement. Celles-ci comprennent notamment:
- une exemption d’application du DSA par les micro et petites entreprises
- un renforcement des règles relatives à la publicité ciblée, dont l’interdiction des techniques de ciblage et d’amplification comprenant des données de mineurs pour l’affichage de publicités et l’interdiction du ciblage publicitaire de certains groupes de personnes en fonction de leur orientation sexuelle, un handicap, la race, etc.
- la possibilité pour les destinataires des services numériques et les organisations représentatives de poursuivre les plateformes qui ne respectent pas les dispositions du DSA.
Certains principes et procédés figurant dans le DSA rappellent le RGPD, tels que l’obligation de désigner un représentant dans l’Union européenne, de désigner un responsable de la conformité (similaire au DPO en matière de protection des données) pour les très grandes plateformes, la création de coordinateurs pour les services numériques (similaire aux autorités de contrôle du RGPD - tels la CNIL), et du Comité européen des services numériques (CESN - similaire au CEPD du RGPD). On notera également le souhait d certains députés européens de porter le montant maximum des amendes de 6 à 10% du chiffre d’affaires annuel des fournisseurs de services pour être en ligne avec le RGPD.
Le projet de DSA risque de subir quelques dernières modifications avant son adoption définitive.
* * * * * * * * * * *
(1) Proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques modifiant la directive 2000/31/CE (Digital Services Act - DSA)
(2) Google, Amazon, Facebook (Meta), Apple, Microsoft
(3) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Avril 2022
La réforme européenne du droit du numérique vient de passer une étape décisive avec le vote, par le Parlement européen, de la proposition de Règlement sur les marchés numériques (Digital Markets Act - DMA) le 15 décembre 2021, suivi du vote de la proposition de Règlement sur les services numériques (Digital Services Act - DSA) le 20 janvier 2022. Ces deux projets de règlements passent maintenant par l’étape d’un trilogue entre des représentants du Parlement, du Conseil et de la Commission afin de parvenir à un accord sur le texte définitif, pour une entrée en application probablement début 2023. (1)
L’objectif de cette réforme d’envergure est double : réguler le fonctionnement des marchés numériques, et plus particulièrement, le rôle des “contrôleurs d’accès” (ou “gatekeepers”), dont les GAFAM, qui jouent un rôle dominant sur le marché, et réguler les services numériques, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations.
Dans ce premier article, nous nous concentrons sur le DMA. Un second article suivra afin de présenter le DSA, ces deux textes ayant des objectifs distincts.
Ce qu’il faut retenir
Le DMA a pour objectif de réguler le comportement des grandes plateformes numériques, y compris les services de plateforme essentiels, qui agissent en tant que “contrôleurs d’accès” (ou “gatekeepers”) sur les marchés, notamment les GAFAM. Les services concernés comprennent, entre autres, les systèmes d’exploitation, les services de publicité en ligne, les moteurs de recherche, les réseaux sociaux, etc.
Les contrôleurs d’accès seront soumis à un certain nombre d’obligations dans le but d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.
1. Le DMA - ou la régulation des contrôleurs d’accès
Selon l’exposé des motifs du DMA, “Certaines grandes plateformes jouent de plus en plus le rôle de points d’accès ou de contrôleurs d’accès entre les entreprises utilisatrices et les utilisateurs finaux et jouissent d’une position solide et durable, qui résulte souvent de la création d’écosystèmes de conglomérat organisés autour de leurs services de plateforme essentiels, renforçant ainsi les barrières à l’entrée existantes.”
Ainsi, le DMA a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés. Alors qu’il existerait plus de 10.000 plateformes actives sur le marché communautaire, seul un petit nombre d’entre elles captent la plus grande part de la valeur générée.
Suivant le constat des régulateurs, ces plateformes ont atteint une taille telle qu’elles ont rendu les utilisateurs - consommateurs et entreprises, dépendants de leurs services. Elles se positionnent ainsi en tant que régulateurs privés pouvant imposer des conditions inéquitables aux entreprises et aux consommateurs (services captifs, blocage de l’accès aux données générées en ligne par les entreprises, etc.) et imposent des barrières à l’entrée à leurs concurrents potentiels, qui ne peuvent avoir accès au marché. En effet, les contrôleurs d’accès, par leur taille, ont acquis une situation dominante, présentant des risques pour les droits des utilisateurs, personnes physiques et morales.
2. Plateformes essentielles et contrôleurs d’accès
Le DMA vise plus particulièrement les services de plateforme essentiels (les contrôleurs d’accès ou certains services qu’ils proposent). Ces services de plateforme essentiels recouvrent les services suivants :
Pour être qualifié de contrôleur d’accès, un service de plateforme essentiel doit remplir plusieurs critères quantitatifs (art. 3 DMA), à savoir :
Les contrôleurs d’accès doivent informer la Commission de leur situation dans un délai de trois mois et fournir les informations visées ci-dessus. Ils pourront également démontrer à la Commission qu’ils ne remplissent pas ces critères. Enfin, la Commission pourra désigner comme contrôleur d’accès des services de plateforme essentiels qui satisfont aux exigences qualitatives ci-dessus, mais qui ne remplissent pas les critères quantitatifs.
3. Les obligations des contrôleurs d’accès
Les contrôleurs d’accès sont soumis à un certain nombre d’obligations, l’objectif étant d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.
Parmi ces obligations, les contrôleurs d’accès doivent (art. 5 DMA) :
Par ailleurs, le DMA interdira certaines pratiques manifestement déloyales, telles que l’interdiction pour les utilisateurs de désinstaller des logiciels ou applications pré-installés. Le règlement imposera également l’interopérabilité entre les services proposés sur ces plateformes et les logiciels tiers.
La Commission européenne aura la possibilité de mener des enquêtes de marché ciblées pour déterminer s’il y a lieu de faire évoluer la règlementation sur les contrôleurs d’accès pour suivre l’évolution des marchés numériques. (art. 18 et s. DMA)
4. Des sanctions dissuasives en cas de violation du DMA
Les sanctions pouvant être imposées par la Commission européenne et par les tribunaux nationaux se veulent être à la hauteur des enjeux et de la taille des acteurs concernés.
En cas de violation des dispositions du DMA, les amendes pourront atteindre 10% du chiffre d’affaires réalisé au cours de l’exercice précédent par le contrôleur d’accès. Pour fixer le montant de l’amende, la Commission prendra en considération la gravité, la durée et la récurrence des manquements aux obligations du DMA. (art. 26 DMA)
A l’issue de l’examen du DMA par le Parlement, les députés européens souhaitent améliorer les critères de qualification des contrôleurs d’accès. Les députés ont par ailleurs inclus les navigateurs web, les assistants virtuels et les télévisions connectées dans le champ du DMA et ajouté la possibilité de désinstaller des applications préinstallées. Les seuils quantitatifs permettant de désigner les contrôleurs d’accès ont également été relevés à 8 milliards d’euros de chiffre d’affaires annuel ou 80 milliards d’euros de capitalisation boursière et le montant des amendes a été doublé, de 10 à 20% du chiffre d’affaires.
Ces dernières années, avec la montée en puissance des GAFAM, les juridictions des Etats membres et la Commission en Europe d’une part, les juridictions américaines d’autre part, ont tenté de lutter contre des pratiques jugées abusives de la part des sociétés, qualifiées de “contrôleurs d’accès” - sans grand succès. L’objectif du DMA est donc, par l’imposition de règles homogènes dans l’Union européenne, de lutter contre les avantages permettant à ces très grands groupes de conserver leur position dominante, favorisant notamment leurs produits et services par rapport aux entreprises utilisatrices ou exploiter les données générées par ces entreprises à leur propre avantage et, in fine permettre plus de compétitivité et de diversité, en donnant accès au marché à des acteurs de taille plus modeste.
* * * * * * * * * * *
(1) Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur du numérique (Digital Markets Act - DMA)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Février 2022
