DSA : quelles obligations pour les TPE et PME ?

DSA : quelles obligations pour les TPE et PME ?

Ce qu'il faut retenir


Le Digital Services Act (DSA) impose un ensemble d’obligations en matière de responsabilité, de transparence et de gestion des risques pour les fournisseurs de services intermédiaires. Des d’aménagements sont prévus pour la mise en conformité des petites entreprises.


Le règlement sur les services numériques, ou Digital Services Act (DSA) est pleinement applicable depuis février 2024. Le DSA impose un ensemble d’obligations en matière de responsabilité, de transparence et de gestion des risques pour les fournisseurs de services intermédiaires, dont les hébergeurs, les plateformes en ligne et les places de marché opérant dans l’UE. (1) 

Ce texte prévoit un certain nombre d’aménagements afin de prendre en compte l’impact que la mise en oeuvre de ces obligations pourrait avoir sur les petites entreprises.

L’objet du présent article est de faire le point sur les dispositions spécifiquement applicables aux TPE et PME - micro et petites entreprises, exploitant des services numériques couverts par le DSA.


1. Le DSA : objectifs et services en ligne concernés

Le DSA vise à encadrer la fourniture de services intermédiaires en instaurant des règles harmonisées au sein de l’Union européenne.

Le règlement poursuit un triple objectif, dans le but d’assurer un environnement numérique plus sûr : lutter contre les contenus illicites et les risques systémiques, préserver les droits fondamentaux des utilisateurs et renforcer la responsabilité des fournisseurs de services numériques.

Le DSA est applicable à la fourniture de services intermédiaires, au sens de l’article 3 g) du règlement, à savoir :

    a. Les services de simple transport : il s’agit des services consistant à transmettre sur un réseau de communication des informations fournies par un destinataire du service (utilisateur), ou à fournir l’accès à un réseau de communication. Les prestataires concernés sont les fournisseurs d’accès à internet (FAI), y compris les opérateurs de services de télécommunication et de visioconférence, de wifi ouvert (accessibles dans des lieux publics), ainsi que les bureaux d’enregistrement de noms de domaine et les services de messageries ; 

    b. Les services de mise en cache : à savoir les services de stockage automatique, temporaire et intermédiaire d’informations pour optimiser leur transmission ultérieure à d’autres destinataires (par exemple les services proposés par AWS, Akamai, Cloudflare) ;

    c. Les services d’hébergement : il s’agit des services qui stockent des informations fournies par un destinataire du service à sa demande. Ces services regroupent les hébergeurs de sites web et les services de cloud computing (services en nuage), les plateformes en ligne y compris places de marché, les services de partage de vidéos, les réseaux sociaux, les plateformes d’hébergement et de voyage et les moteurs de recherche.

Le DSA est applicable aux fournisseurs de services intermédiaires dès lors que les destinataires des services sont établis ou résident dans l’Union européenne. Le critère déterminant est celui du marché ciblé, et non celui de l’établissement du fournisseur de services.

Ces services ne sont pas exploités que par des grandes entreprises. De multiples acteurs économiques de tailles diverses, moins connus du grand public, proposent des services numériques.


2. Les micro et petites entreprises, en partie exclues du champ d’application du DSA

Les micro et petites entreprises (TPE et PME) bénéficient d’une exemption de mise en conformité à certaines dispositions du DSA.

Cette exemption partielle de conformité au DSA, qui s’applique tant que l’entreprise répond aux critères de taille définis par la Commission, vise à éviter des charges financières et administratives disproportionnées pour les plus petits acteurs économiques.

La notion de micro et petites entreprises est définie comme suit : (2)

    - une microentreprise compte moins de 10 salariés et son chiffre d’affaires annuel (ou total du bilan annuel) est inférieur ou égal à 2 millions d’euros ;
    - une petite entreprise compte moins de 50 salariés et son chiffre d’affaires annuel (ou total du bilan annuel) est inférieur ou égal à 10 millions d’euros.

En cas de dépassement des seuils pendant deux exercices consécutifs, l’entreprise perd ce statut. Elle devra alors mettre en oeuvre les obligations supplémentaires du DSA dans un délai de 12 mois après la perte du statut de micro ou petite entreprise.


3. Les obligations applicables aux différentes catégories de services intermédiaires

Concernant les micro et petites entreprises, un socle commun d’obligations s’applique à tous les fournisseurs de services intermédiaires, auquel s’ajoutent des obligations spécifiques pour les hébergeurs et les plateformes en ligne.

    3.1 Les obligations communes à tous les fournisseurs de services intermédiaires

Les fournisseurs de services intermédiaires sont soumis aux obligations suivantes (art. 9 à 15) :

     - le traitement, dans les meilleurs délais, des injonctions des autorités compétentes d’agir contre des contenus illicites (suppression ou blocage d’un contenu) ou de fournir des informations concernant un utilisateur du service (art. 9 et 10) ;
     - la désignation de points de contact, pour permettre aux autorités et aux internautes de communiquer directement par voie électronique avec les fournisseurs de services (art. 11 et 12) ;
     - la désignation d’un représentant légal pour les fournisseurs non établis dans l’Union européenne mais qui proposent des services dans l’UE (art. 13) ;
     - des conditions générales (CGU) transparentes, c’est-à-dire facilement accessibles et rédigées en termes claires, simples, intelligibles et sans ambiguïté. Les CGU doivent notamment préciser les modalités de modération des contenus, la prise de décision fondée sur des algorithmes et les mécanismes de traitement des réclamations (art. 14). Lorsque le service s’adresse principalement à des mineurs, les conditions et limitations à l’utilisation du service sont expliquées de manière compréhensible pour les mineurs.

    3.2 Les obligations spécifiques aux fournisseurs de services d’hébergement (y compris les plateformes en ligne) 

Les obligations applicables aux fournisseurs de services d’hébergement et plateformes en ligne comprennent (art. 16 à 18) :

     - la mise en place d’un mécanisme de notification et d’action permettant à toute personne, physique ou morale, de signaler les contenus considérés comme illicites (art. 16) ;
     - l’obligation de motiver les décisions de restriction ou de retrait de contenus (art. 17). Les utilisateurs visés par une décision de modération des contenus doivent être informés par l’hébergeur. Cet exposé des motifs doit inclure notamment la nature de la restriction, les faits et circonstances ayant conduit à la décision et les voies de recours disponibles (mécanisme interne, règlement extrajudiciaire des litiges, recours juridictionnel) ;
     - une procédure de notification aux autorités répressives ou judiciaires en cas de soupçons d’infraction pénale présentant une menace grave pour la vie ou la sécurité d’une ou plusieurs personnes (art. 18).

     - Pour les plateformes en ligne et les moteurs de recherche, la communication dans les meilleurs délais, à la demande du coordinateur pour les services numériques et à la Commission, des informations relatives à la moyenne mensuelle des destinataires actifs du service dans l’UE. (art. 24 par. 3).

Il convient toutefois de noter que certaines petites entreprises exploitant des plateformes en ligne ou des moteurs de recherche peuvent être qualifiées de très grandes plateformes (ou VLOP - “Very large online platform”) si le nombre mensuel moyen de destinataires actifs du service dans l’UE est égal ou supérieur à 45 millions). (art. 19 par.2) Dans ce cas, les obligations imposées à ces services leurs seront applicables. (voir notre article “DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces”)


    Le DSA ne se limite pas aux grandes plateformes : les TPE et PME du numérique sont également concernées, même si le règlement prévoit des aménagements proportionnés à leur taille. Même allégées, les obligations applicables aux micro et petites entreprises impliquent la mise en place de procédures, notamment en matière de transparence, de modération des contenus et de coopération avec les autorités. L’absence de conformité expose les entreprises à des contrôles et à des sanctions, mais aussi à un risque réputationnel.

* * * * * * * * * * *


(1) Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (Règlement sur les services numériques ou Digital Services Act - DSA)

(2) Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (2003/361/CE)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2026

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (8) adwords (3) ai (27) anssi (3) arcep (5) arcom (21) audiovisuel (4) audit (4) base de données (3) bitcoin (1) blockchain (8) cbpr (7) cgv (1) chine (1) cjue (1) cloud computing (3) cnil (19) commerce (4) communication (8) compliance (38) confidentialité (3) conformité (22) consommateurs (4) contrat (11) contrefaçon (10) cookies (6) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (19) données personnelles (34) dpf (2) droit d'auteur (11) dsa (10) e-commerce (15) e-consommateurs (1) enfance (6) etats-unis (6) eu (20) europe (19) formation (4) fraude (3) gdpr (31) google (4) hébergeur (5) ia (19) ico (1) informatique (14) informatique et libertés (4) intelligence artificielle (18) internet (36) jeu vidéo (3) liberté d'expression (3) logiciel (13) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (14) originalité (5) privacy shield (2) propriété intellectuelle (15) protection des données (12) publicité (6) référencement (4) réglementation (13) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (13) rgpd (24) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (8) site web (5) us (3) vie privée (23)