DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces (1ère partie)

DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces (1ère partie)

Ce qu’il faut retenir


Le Digital Services Act (DSA) est pleinement applicable depuis février 2024. Hébergeurs, plateformes et marketplaces doivent se conformer à des obligations renforcées en matière de responsabilité, de transparence et de gestion des contenus.


Le règlement sur les services numériques, ou Digital Services Act (DSA), pleinement applicable depuis le 17 février 2024, impose un ensemble d’obligations en matière de responsabilité, de transparence et de gestion des risques pour les fournisseurs de services intermédiaires, dont les hébergeurs, les plateformes en ligne et les places de marché opérant dans l’UE. (1) Conçu pour lutter contre la diffusion des contenus illicites, encadrer les systèmes algorithmiques et protéger les droits fondamentaux des utilisateurs, le DSA introduit une régulation différenciée selon la nature et la taille du fournisseur de service.

Dans ce premier article, qui complète notre analyse de la proposition de règlement, nous faisons la synthèse des objectifs du DSA, les catégories de services numériques concernées et les obligations applicables à chaque catégorie de fournisseur de services intermédiaires. Un deuxième article abordera le champ d’application territorial et les sanctions encourues en cas de non-conformité au DSA.


1. Les objectifs du DSA

Adopté le 19 octobre 2022, le règlement européen sur les services numériques est entré en application en plusieurs phases échelonnées entre le 25 avril 2023 et le 17 février 2024. Il est désormais applicable à tous les services concernés.

Le DSA vise à encadrer la fourniture de services intermédiaires en instaurant des règles harmonisées au sein de l’Union européenne.

Le DSA s’inscrit dans la continuité de la directive du 8 juin 2000 sur le commerce électronique et, en France, de la LCEN, dont il actualise les principes pour tenir compte de l’évolution du paysage numérique et des usages (essor des réseaux sociaux, plateformes de contenu, marketplaces).

Le DSA poursuit plusieurs objectifs, dans le but d’assurer un environnement numérique plus sûr : lutter contre les contenus illicites et les risques systémiques, préserver les droits fondamentaux et renforcer la responsabilité des fournisseurs de services numériques.

    1.1 Lutter contre les contenus illicites et les risques systémiques

Le premier objectif du DSA est la lutte contre la prolifération des contenus illicites (contenus haineux, contrefaçon, désinformation, etc.), et contre les risques systémiques induits par les très grandes plateformes, tels que la manipulation de l’information, la diffusion de contenus dangereux ou l’atteinte à la protection des mineurs.

Pour ce faire, le DSA impose des obligations de diligence différenciées selon la nature et la taille des prestataires concernés, avec des exigences renforcées pour les très grandes plateformes en ligne (VLOPs) et les très grands moteurs de recherche (VLOSEs). (2)

    1.2 Préserver les droits fondamentaux

Le second objectif du DSA vise à protéger les droits fondamentaux, et plus particulièrement la liberté d’expression, le respect de la vie privée ou la protection des données tout en assurant la sécurité numérique. Le règlement impose notamment aux plateformes :
     - la transparence des règles de modération des contenus ;
     - la mise en place de voies de recours accessibles pour les utilisateurs ;
     - l’interdiction de techniques manipulatrices d’interface (dark patterns) ;
     - des garanties renforcées en matière de protection des consommateurs et des mineurs.

    1.3 Renforcer la responsabilité et la transparence des acteurs numériques

Le troisième objectif du DSA est de préciser les règles d’exemption de responsabilité des fournisseurs de services intermédiaires, sans pour autant remettre en cause le régime de responsabilité atténuée, hérité de la directive e-commerce et transposé dans la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN).

Il est ainsi rappelé que les fournisseurs de services intermédiaires ne sont pas tenus à une obligation générale de surveillance des contenus qu’ils transmettent ou stockent, ni de diligenter la recherche d’activités illégales. En revanche, ils sont tenus de prendre des mesures pour suspendre l’accès aux contenus illicites ou fournir des informations aux autorités, dès réception d’une injonction.

Leur responsabilité peut être engagée pour des contenus qu’ils éditent ou mettent en avant ou s’ils ne bloquent l’accès ou ne suppriment pas un contenu promptement après avoir été informés de leur caractère illicite.

Enfin, le règlement prévoit une gouvernance régulatrice structurée, reposant sur trois nouveaux dispositifs :
     - des coordinateurs des services numériques désignés dans chaque État membre. L’ARCOM a été désignée coordinateur des services numériques pour la France par la loi Sécurité et régulation de l’espace numérique du 21 mai 2024 (loi SREN) ;
     - la supervision centralisée des très grandes plateformes par la Commission européenne ; et
     - l’organisation de la coopération entre les autorités nationales au sein d’un nouveau Comité européen des services numériques.


2. Les services en ligne concernés par le DSA

Le DSA est applicable à la fourniture de services numériques intermédiaires. Les très grandes plateformes en ligne (VLOPs) et les très grands moteurs de recherche (VLOSEs) sont soumis à un régime spécifique de surveillance renforcée, tandis que les microentreprises bénéficient d’exemptions ciblées.

    2.1 Les fournisseurs de services intermédiaires

Le DSA s’applique à la fourniture de services intermédiaires, au sens de l’article 3, g) du règlement, dès lors que les destinataires de ces services sont établis ou résident dans l’Union européenne. Le critère déterminant est donc celui du marché ciblé, et non celui de l’établissement du prestataire.

Les catégories de services intermédiaires concernées sont les suivantes :
    a. Les services de simple transport : il s’agit des services consistant à transmettre sur un réseau de communication des informations fournies par un destinataire du service (utilisateur), ou à fournir l’accès à un réseau de communication. Sont visés les fournisseurs d’accès (Orange, Bouygues, SFR, Free), et les bureaux d’enregistrement de noms de domaine.

    b. Les services de mise en cache : ce sont les services de stockage automatique, temporaire et intermédiaire d’informations pour optimiser leur transmission ultérieure à d’autres destinataires (par exemple les services proposés par AWS, Akamai, Cloudflare).

    c. Les services d’hébergement : il s’agit des services qui stockent des informations fournies par un destinataire du service à sa demande. Cette catégorie regroupe :
     - les hébergeurs de sites web (OVH, GoDaddy, Gandi, Infomaniak) et les services en nuage - cloud computing (AWS, Azure, iCloud) ;
     - les plateformes en ligne, qui incluent les places de marché (Amazon, LeBonCoin, eBay, Vinted), les services de partage de vidéos (YouTube, Dailymotion, TikTok), les réseaux sociaux (Facebook, Instagram, LinkedIn), les plateformes d’hébergement et de voyage (Airbnb, Booking.com) ;
     - les moteurs de recherche.

Parmi les fournisseurs de services intermédiaires, les plateformes et moteurs de recherche en ligne dont le nombre mensuel moyen d’utilisateurs actifs dans l’UE est égal ou supérieur à 45 millions sont désignés comme très grandes plateformes en ligne (VLOPs) et très grands moteurs de recherche en ligne (VLOSEs). La liste des très grandes plateformes et moteurs de recherche est publiée par la Commission et mise à jour tous les 6 mois. (3)

    2.2 Les micro et petites entreprises, en partie exclues du champ d’application du DSA

Les fournisseurs de services intermédiaires, microentreprises et petites entreprises qui remplissent les critères de la recommandation de la Commission du 6 mai 2003, sont exemptés de se conformer à certaines obligations prévues par le DSA, telles que : (4)
     - l’établissement de rapports de transparence ;
     - le traitement interne des réclamations ;
     - certaines obligations spécifiques aux plateformes (ex. : signalement de contenus, protection des mineurs, etc.).

En revanche, ces entreprises restent soumises aux dispositions applicables à tous les fournisseurs de services intermédiaires (voir ci-après).

Cette exemption partielle de conformité au DSA, qui s’applique tant que le fournisseur répond aux critères de taille définis par la Commission, vise à éviter des charges financières et administratives disproportionnées pour les plus petits acteurs économiques et à préserver l’innovation.


3. Les obligations applicables aux différentes catégories de services intermédiaires

Le règlement introduit un régime d’obligations graduées selon la nature du service fourni et la taille de l’acteur concerné.

Un socle commun d’obligations s’applique à tous les fournisseurs de services intermédiaires, auquel s’ajoutent des obligations spécifiques pour les hébergeurs, les plateformes en ligne, les places de marché B2C et les très grandes plateformes en ligne (VLOPs) et très grands moteurs de recherche (VLOSEs).

    3.1 Les obligations communes à tous les fournisseurs de services intermédiaires

Les fournisseurs de services intermédiaires sont soumis aux obligations suivantes (art. 11 à 15) :

     - la désignation de points de contact, pour permettre aux autorités et aux internautes de communiquer directement par voie électronique avec les fournisseurs de services (art. 11 et 12) ;
     - la désignation d’un représentant légal pour les fournisseurs non établis dans l’Union européenne (art. 13) ;
     - des conditions générales (CGU) transparentes, c’est-à-dire facilement accessibles et rédigées en termes claires, simples, intelligibles et sans ambiguïté. Les CGU doivent notamment préciser les modalités de modération des contenus, la prise de décision fondée sur des algorithmes et les mécanismes de traitement des réclamations (art. 14) ;
     - la publication d’un rapport de transparence annuel sur les activités de modération des contenus et le nombre d’injonctions et de réclamations reçu (art. 15).

    3.2 Les obligations spécifiques aux fournisseurs d’hébergement (incluant les plateformes en ligne)

Les obligations applicables aux fournisseurs d’hébergement comprennent (art. 16 à 18) :

     - la mise en place d’un mécanisme de notification et d’action permettant à toute personne, physique ou morale, de signaler les contenus considérés comme illicites (art. 16) ;
     - l’obligation de motiver les décisions de restriction ou de retrait de contenus (art. 17). Les utilisateurs visés par une décision de modération des contenus, doivent être informés par l’hébergeur. Cette information doit inclure les voies de recours disponibles (mécanisme interne, règlement extrajudiciaire des litiges, recours juridictionnel) ;
     - une procédure de signalement aux autorités judiciaires en cas de soupçons d’infraction pénale présentant une menace grave pour la vie ou la sécurité d’une ou plusieurs personnes (art. 18).

    3.3 Les obligations spécifiques aux plateformes en ligne

Les plateformes en ligne sont soumises à des obligations renforcées comprenant (art. 20 à 28) :

     - la possibilité, pour les utilisateurs d’accéder à un système interne de traitement des réclamations pendant au moins 6 mois, pour leur permettre de contester les décisions prises par le fournisseur suite à la réception d’une notification ou concernant un contenu illicite (art. 20) ;
     - l’accès par les utilisateurs à un mécanisme de règlement extrajudiciaire des litiges, par un organe indépendant certifié (art. 21) ;
     - le traitement prioritaire des notifications faites par les “signaleurs de confiance”. (art. 22) Nommés par le coordinateur pour les services numériques, les signaleurs de confiance sont des entités disposant d’une expertise leur permettant de détecter et notifier des contenus illicites ;
     - une procédure de suspension des comptes d’utilisateurs ou de signaleurs abusifs (art. 23) ;
     - la publication de rapports de transparence enrichis, incluant notamment le nombre de litiges transmis aux organes de règlement extrajudiciaire et les résultats du règlement des litiges, le nombre de suspension de comptes d’utilisateurs ou de signaleurs abusifs (art. 24) ;
     - l’interdiction des “dark patterns” (5) et l’obligation de conception loyale des interfaces (art. 25) ;
     - l’encadrement de la publicité par une identification claire du caractère publicitaire des messages et des annonceurs, et la transparence sur les critères de ciblage (art. 26) ;
     - des systèmes de recommandation transparents, avec l’option pour l’utilisateur de modifier ou influencer les paramètres (art. 27) ;
     - une protection renforcée des mineurs, notamment par l’interdiction de la publicité ciblée, dès lors que le fournisseur a la “certitude raisonnable” que l’utilisateur est mineur (art. 28).

    3.4 Les obligations applicables aux places de marché B2C

Les places de marché en ligne à destination des consommateurs sont soumises aux exigences spécifiques suivantes (art. 30 à 32) :

     - la traçabilité des vendeurs professionnels, comprenant leur identification, auto-certification, et le contrôle des documents justificatifs par la plateforme avant qu’ils puissent débuter leur activité commerciale (art. 30) ;
     - la mise à disposition des vendeurs d’une “interface by-design”, conforme dès la conception,  leur permettant de respecter leurs obligations d’information précontractuelle, de conformité produit, etc. (art. 31) ;
     - une meilleurs information des utilisateurs en cas de vente de produits/services illicites (art. 32).

    3.5 Des obligations renforcées pour les très grandes plateformes et très grands moteurs de recherche en ligne

Compte tenu de leur taille, les obligations spécifiques à ces services, qui posent un risque systémique, sont les plus exigeantes. Ces services doivent :

     - procéder à une évaluation annuelle des risques systémiques. Cette obligation comprend une analyse de la diffusion de contenus illicites par leur intermédiaire, des effets de leur diffusion pour l’exercice des droits fondamentaux (dignité humaine, respect de la vie privée, protection des données personnelles, liberté d’expression, etc.), tout effet relatif à la désinformation, la protection de la sécurité publique, de la santé publique et des mineurs (art. 34). Cette évaluation doit préciser les mesures d’atténuation de ces risques prises par le service telles que l’adaptation des systèmes algorithmiques, l’amélioration de la modération, les règles de gouvernance interne (art. 35) ;
     - prévoir un mécanisme de réaction et de participation à la gestion de crise (attaque terroriste, guerre, …) (art. 36) ;
     - faire réaliser des audits indépendants annuels de conformité (art. 37) ;
     - assurer une transparence renforcée concernant les systèmes de recommandation et la publicité en ligne (art. 38 et 39) ;
     - nommer un ou plusieurs responsables de la conformité (ou délégués à la conformité) selon des critères d’indépendance et de compétence similaires à ceux prévus pour le DPO dans le RGPD. La fonction des délégués à la conformité sera de contrôler la conformité du service au DSA (art. 41).

Ces obligations font l’objet d’un suivi renforcé par la Commission européenne, qui pourra diligenter des contrôles, adresser des injonctions ou prononcer des sanctions à l’encontre de ces services en cas de non conformité.


    En instaurant un socle commun d’exigences, le DSA ambitionne de garantir un haut niveau de sécurité pour les internautes, tout en assurant une concurrence loyale entre les services numériques, européens ou non, ciblant le marché de l’UE. Certaines de ces obligations, applicables en France depuis la transposition de la directive e-commerce et l’adoption de la loi pour la confiance numérique (LCEN) du 21 juin 2004, ont été complétées ou renforcées par le règlement.


* * * * * * * * * * *


(1) Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (Règlement sur les services numériques ou Digital Services Act - DSA)

(2) Les termes “VLOP” et “VLOSE” signifient respectivement Very Large Online Platforms (pour très grandes plateformes en ligne) et Very Large Online Search Engines (pour très grands moteurs de recherche en ligne).

(3) La liste des très grandes plateformes en ligne comprend les services suivants : AliExpress, Amazon Store, Apple AppStore, Booking.com, plusieurs services proposés par Google (Google Play, Google Maps, Google Shopping, YouTube), services proposés par Meta (Facebook, Instagram), LinkedIn, Pinterest, Pornhub, Shein, Snapchat, Stripchat, Temu, TikTok, Wikipedia, X, Xvideos, Zalando
Les très grands moteurs de recherche en ligne comprennent Google Search et Bing.

(4) La recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (2003/361/CE) détermine les seuils comme suit : une petite entreprise compte moins de 50 salariés et son chiffre d’affaires annuel est inférieur à 10 millions d’euros; une microentreprise compte moins de 10 salariés et son chiffre d’affaires annuel est inférieur à 2 millions d’euros.

(5) Un “dark pattern” est une interface utilisateur conçue pour tromper ou manipuler l’utilisateur, telle qu’une question rédigée sous la forme d’une double négation, ou un bouton de refus des cookies plus petit que celui pour les accepter.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2024 (mise à jour en juin 2024)

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (7) adwords (1) ai (15) arcep (3) arcom (9) audiovisuel (3) base de données (3) bitcoin (1) blockchain (5) cbpr (3) cgv (1) chine (1) cloud computing (2) cnil (15) commerce (2) communication (8) compliance (17) confidentialité (2) conformité (11) consommateurs (3) contrat (8) contrefaçon (9) cookies (4) copyright (3) csa (1) cybercriminalité (5) data (1) data privacy framework (2) dma (4) données à caractère personnel (16) données personnelles (29) dpf (2) droit d'auteur (9) dsa (4) e-commerce (11) e-consommateurs (1) enfance (4) etats-unis (4) eu (10) europe (8) formation (1) fraude (2) gdpr (26) google (4) hébergeur (5) ia (11) ico (1) informatique (10) informatique et libertés (4) intelligence artificielle (10) internet (29) jeu vidéo (2) liberté d'expression (3) logiciel (7) loi informatique et libertés (5) loi sren (5) marque (3) métavers (2) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nft (3) nom de domaine (1) numérique (8) originalité (4) privacy shield (2) propriété intellectuelle (11) protection des données (7) publicité (6) référencement (4) réglementation (10) réseau (1) réseaux sociaux (10) responsabilité (8) responsable du traitement (10) rgpd (20) robotique (5) rpa (2) salariés (4) santé publique (1) sécurité (7) singapour (3) site web (1) us (2) vie privée (19)