DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces (2è partie)

DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces (2è partie)

Ce qu’il faut retenir

Le Digital Services Act (DSA) est pleinement applicable depuis février 2024. Hébergeurs, plateformes et marketplaces doivent se conformer à des obligations renforcées en matière de responsabilité, de transparence et de gestion des contenus.


Le règlement sur les services numériques, ou Digital Services Act (DSA), pleinement applicable depuis le 17 février 2024, impose un ensemble d’obligations en matière de responsabilité, de transparence et de gestion des risques pour les fournisseurs de services intermédiaires, dont les hébergeurs, les plateformes en ligne et les places de marché opérant dans l’UE. (1)

Un premier article expose la synthèse des objectifs du DSA. Dans le présent article, nous  abordons le champ d’application territoriale et les sanctions encourues en cas de non-conformité au DSA.


1. Le champ d'application territoriale du DSA

Le champ d'application territoriale du DSA est fondé sur le marché ciblé par les services, à savoir l’Union européenne. À l’instar du RGPD, le Digital Services Act adopte une approche extraterritoriale, fondée non pas sur le lieu d’établissement du fournisseur de services numériques, mais sur le lieu de destination des services.

    1.1 Une application fondée sur le marché ciblé

Le règlement s’applique à tout fournisseur de services intermédiaires, quel que soit son lieu d’établissement, dès lors que les destinataires des services sont situés dans l’Union européenne. (art. 2 DSA)

Ce critère permet de soumettre à la régulation européenne des entreprises établies hors UE, mais qui ciblent le marché européen en fournissant des contenus, des biens, ou des services numériques aux utilisateurs résidant dans l’Union européenne. Ainsi, des acteurs majeurs du numérique tels que Meta, Google, Amazon, Apple, ou TikTok, bien qu'établis hors de l'UE, sont pleinement concernés par les obligations du DSA.

    1.2 Les services visés

Sont visés tous les services intermédiaires au sens large, dès lors qu’ils sont accessibles dans l’Union européenne, incluant les fournisseurs d’accès à internet et de services d’infrastructure, les services de mise en cache (CDN), les hébergeurs, les plateformes en ligne (réseaux sociaux, marketplaces, plateformes de partage de contenus), les moteurs de recherche. (pour plus de détails, voir notre article)

    1.3 Des obligations spécifiques pour les fournisseurs non établis dans l’UE

Les fournisseurs de services intermédiaires non établis dans l’UE, mais soumis au DSA en raison de leur activité ciblant le marché européen, doivent désigner un représentant légal dans l’Union (art. 13 DSA) et se conformer à l’ensemble des obligations réglementaires applicables selon leur catégorie (hébergeur, plateforme, très grandes plateformes (VLOP) et très grands moteurs de recherche en ligne (VLOSE).

Le représentant légal agit comme l’interlocuteur privilégié des autorités nationales pour la réception des injonctions, demandes d’informations, et mesures de contrôle.

    1.4 Mécanismes de coopération transfrontalière

Afin de garantir une application cohérente et harmonisée dans tous les États membres, le DSA prévoit : (art. 50 à 59)
     - la désignation dans chaque État d’un Coordinateur pour les services numériques ;
     - un rôle renforcé de la Commission européenne à l’égard des très grandes plateformes et des très grands moteurs de recherche en ligne, avec le pouvoir de mener des enquêtes, audits, ou prononcer des mesures de surveillance ; et
     - la création d’un Comité pour les services numériques, pour assister la Commission et organiser la coopération entre les autorités nationales.


2. Les sanctions applicables en cas de violation du DSA

Le règlement sur les services numériques instaure un dispositif de sanctions dissuasif et harmonisé au niveau européen, afin d’assurer le respect de leurs obligations par les fournisseurs de services intermédiaires.

    2.1 Les autorités compétentes pour la mise en œuvre du contrôle de la conformité

Le DSA répartit les compétences entre plusieurs autorités, selon la nature du prestataire concerné.

Dans chaque État membre, le coordinateur des services numériques est compétent pour l’ensemble des fournisseurs de services intermédiaires relevant de son territoire. Le coordinateur peut notamment diligenter des enquêtes relatives à des infractions présumées, ordonner la cessation d’infractions, imposer des mesures correctives et prononcer des injonctions ou des sanctions pécuniaires. (art. 51) Par ailleurs, les coordinateurs des services numériques de chaque Etat-membre coopèrent entre eux.

La Commission européenne dispose de compétences propres en matière de contrôle et de sanction des très grandes plateformes (VLOP) et très grands moteurs de recherche en ligne (VLOSE). (art. 65 et s.)

La Commission est assistée par la Comité pour les services numériques qui lui apporte le soutien d’experts du domaine du numérique.

    2.2 Typologie des sanctions prévues

Plusieurs types de sanctions sont prévues en cas de non-conformité du fournisseur de services intermédiaires au DSA. (art. 51 et 74)

Ces sanctions doivent être effectives, proportionnées et dissuasives.

    a. Sanctions pécuniaires : en cas de manquement à une obligation du règlement, le coordinateur ou la Commission peut imposer une amende administrative pouvant atteindre 6% du chiffre d’affaires mondial annuel du prestataire concerné pour l’année N-1.

    b. Sanctions pour défaut de coopération ou obstruction : des sanctions spécifiques, limitées à 1% du chiffre d’affaires mondial annuel du prestataire concerné pour l’année N-1 sont prévues en cas de fourniture d’informations inexactes, incomplètes ou trompeuses, non-respect des demandes d’information ou d’injonctions, ou refus du fournisseur de services de se soumettre à une inspection.

    c. Astreintes : des astreintes journalières peuvent être imposées pour contraindre un prestataire à se conformer à une injonction. Celles-ci sont limitées à 5 % des revenus ou du chiffre d’affaires mondial journaliers moyens du fournisseur concerné pour l’année N-1, par jour.

    d. Mesures d’urgence et restrictions temporaires : enfin, le coordinateur des services numériques peut ordonner des mesures complémentaires, telles que la restriction temporaire de l’accès au service sur le territoire concerné ou le blocage de certaines fonctionnalités, au cas où le fournisseur de services n’aurait pas remédié à une infraction pénale impliquant une menace grave pour la vie ou la sécurité des personnes, suite à son absence de coopération, ou une coopération insuffisante.

Ces mesures exceptionnelles sont soumises à des conditions strictes, notamment un contrôle juridictionnel.

    2.3 Encadrement procédural des décisions et sanctions

Le DSA prévoit des voies de recours contre les décisions des autorités.

Les utilisateurs peuvent contester les décisions de restriction ou de suppression de contenu prises par un fournisseur de services à leur encontre, soit en faisant appel au mécanisme de contestation interne au service, soit en faisant appel à un service de médiation, soit encore, en saisissant la juridiction compétente. (art. 17)

Lors des procédures de contrôle et d’enquête diligentées par les coordinateurs pour les services numériques ou la Commission, le fournisseur de services concerné peut être entendu.

Les décisions et mesures de sauvegarde prononcées à l’encontre des fournisseur de services intermédiaires sont susceptibles d’être contestées devant les juridictions nationales compétentes, et devant la Cour de justice de l’Union européenne (CJUE) pour les décisions de la Commission. (art. 51 et 80)

    2.4 Application en France

En France, la loi SREN du 21 mai 2024 organise la répartition des compétences entre : (2)

     - l’ARCOM, coordinateur pour les services numériques, en charge de contrôler l’application du règlement par les fournisseurs de services intermédiaires ;

L’ARCOM partage ses compétences avec :
     - la CNIL pour le respect de la réglementation relative à la protection des données, et plus particulièrement le contrôle des obligations liées au ciblage publicitaire ; (art 28 et 38) et
     - la DGCCRF pour le respect de la réglementation commerciale, et notamment le contrôle des dispositions relatives à l’identification des professionnels et de la conformité des interfaces d’inscription, et de l’information des consommateurs. (art 30 à 32)

Une convention de coopération a été signée le 27 juin 2024 entre ces organismes pour coordonner l’application effective du DSA sur le territoire français.


    Le Digital Services Act réforme le droit européen du numérique pour prendre en compte l’évolution des services et des usages et garantir un meilleur niveau de sécurité et d’information des internautes. En opérant une refonte du cadre juridique applicable aux services intermédiaires, le règlement renforce substantiellement les exigences de transparence, de diligence et de responsabilité des prestataires - hébergeurs, plateformes et moteurs de recherche.

Sa mise en œuvre effective suppose désormais une vigilance accrue des autorités compétentes et une mobilisation soutenue des opérateurs pour assurer la mise en conformité de leurs services, dans un environnement juridique en constante évolution.

* * * * * * * * * * *


(1) Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (Règlement sur les services numériques ou Digital Services Act - DSA)

(2) Loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (loi SREN)

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2024

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (7) adwords (1) ai (17) arcep (3) arcom (9) audiovisuel (3) base de données (3) bitcoin (1) blockchain (5) cbpr (3) cgv (1) chine (1) cloud computing (2) cnil (15) commerce (2) communication (8) compliance (19) confidentialité (2) conformité (13) consommateurs (3) contrat (8) contrefaçon (9) cookies (4) copyright (3) csa (1) cybercriminalité (5) data (1) data privacy framework (2) dma (4) données à caractère personnel (16) données personnelles (29) dpf (2) droit d'auteur (9) dsa (4) e-commerce (11) e-consommateurs (1) enfance (4) etats-unis (4) eu (10) europe (8) formation (1) fraude (2) gdpr (26) google (4) hébergeur (5) ia (13) ico (1) informatique (10) informatique et libertés (4) intelligence artificielle (12) internet (29) jeu vidéo (2) liberté d'expression (3) logiciel (7) loi informatique et libertés (5) loi sren (5) marque (3) métavers (2) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nft (3) nom de domaine (1) numérique (8) originalité (4) privacy shield (2) propriété intellectuelle (11) protection des données (7) publicité (6) référencement (4) réglementation (12) réseau (1) réseaux sociaux (10) responsabilité (8) responsable du traitement (10) rgpd (20) robotique (7) rpa (4) salariés (4) santé publique (1) sécurité (7) singapour (3) site web (1) us (2) vie privée (19)