Entrée en application du Digital Services Act : nouvelles règles à retenir
Corinne Thiérache et Gwennaelle Caër
Le Règlement sur les services numériques, ou Digital Services Act (ci-après « DSA »), publié au Journal Officiel de l’Union Européenne (JOUE) le 27 octobre 2022, est entré en application pour les très grandes plateformes ce vendredi 25 août 2023. Ce règlement, avec son homologue le règlement sur les marchés numériques (Digital Markets Act, ou « DMA ») est l’un des piliers de l’initiative de l’exécutif européen de réguler l’espace numérique.
Le DSA vise principalement à encadrer les contenus (haineux, pédopornographiques, terroristes…) et les produits (contrefaits ou dangereux) illicites en ligne et protéger les utilisateurs. Le texte adapte les obligations imposées à chaque type d’acteur en fonction de sa taille, de la nature des services proposés et des risques qu’il fait peser sur la société afin de confier aux acteurs ayant une « importance systémique » des « responsabilités particulières ». Les très grandes plateformes en lignes (Very Large Operating Platforms, ou « VLOPs ») et les très grands moteurs de recherche (Very Large Search Engines, ou « VLOSEs »), dépassant les 45 millions d’utilisateurs actifs chaque mois, soit 10% de la population européenne, font ainsi l’objet d’obligations plus strictes et d’un délai de mise en conformité plus court.
Les premiers VLOPs et VLOSEs ont été désignés par la Commission européenne le 25 avril 2023 : les plateformes sont au nombre de 17 (Alibaba, Aliexpress, Amazon, Apple App Store, Booking.com, Facebook, Google Maps, Play Store, Google Shopping, Zalando, YouTube, Instagram, Snapchat, TikTok, Twitter, Wikipédia, LinkedIn), accompagnées par deux moteurs de recherche en ligne (Bing et Google Search). Zalando et Amazon ont néanmoins contesté en justice leurs désignations en affirmant que la majorité de leurs revenus proviendraient de leur activité de vente de détail et non en tant que marché en ligne et qu’ainsi elles ne devaient pas être désignées en tant que VLOPs. La Commission aurait également pour ambition de viser certaines plateformes pas encore désignées pour le moment, telles que Spotify ou Airbnb. Pour toutes ces plateformes désignées, le DSA a commencé à s’appliquer quatre mois après leur désignation, soit le 25 août 2023, alors que le texte s’appliquera à tous les autres acteurs seulement à compter du 17 février 2024.
Ainsi, voici les principales obligations auxquelles sont soumises les très grandes plateformes depuis ce vendredi :
- Les plateformes désignées devront, chaque année, procéder à une analyse des risques systémiques liés à leurs services sous le contrôle de la Commission et prendre les mesures nécessaires pour atténuer ces risques
- L’objectif est d’analyser et limiter les risques systémiques provoqués par les plateformes, notamment en termes de propagation des contenus de désinformation ou de manipulation des utilisateurs, les risques de profusion de haine et violence en ligne, de mise en danger des droits fondamentaux, mais également les risques concernant les discours civiques et processus électoraux ou les risques de santé publique.
- L’objectif est de réguler la visibilité des contenus préjudiciables, sans forcément le supprimer afin de ne pas porter atteinte à la liberté d’expression. Ainsi, les mesures peuvent par exemple être la suppression de faux comptes et la mise en avant du caractère fallacieux d’une information apparaissant à tort comme authentique.
- Les plateformes devront également mettre en place un mécanisme de réaction aux crises susceptibles d’influer sur la sécurité ou la santé publique permettant la réalisation d’une analyse de risque et des mesures d’urgence en cas d’émergence d’une crise.
- Les très grandes plateformes seront également soumises à des obligations particulières de transparence :
- Des audits externes et indépendants évaluant les mesures prises pour assurer le respect du DSA, seront menés et les données permettant ces contrôles devront être transmises à la Commission mais également à des chercheurs agréés.
- Comme toutes les plateformes, elles devront expliquer le fonctionnement de leurs algorithmes et systèmes de recommandation, mais devront également proposer aux utilisateurs un système de recommandation non fondé sur leur profilage. Il sera ainsi possible de consulter un réseau social en voyant s’afficher les contenus par ordre chronologique de publication.
- Les mécanismes de recours et de réparation devront être rendus accessibles aux utilisateurs, faciles à trouver et à comprendre.
Les très grandes plateformes devront également respecter les obligations prévues pour l’intégralité des acteurs visés par le DSA.
- Cela passe d’abord par une plus grande responsabilisation des plateformes qui hébergent des contenus : elles devront ainsi faciliter les signalements et agir rapidement pour procéder à la suppression ou au blocage d’un contenu signalé comme illicite si c’est avéré, en dépit de quoi leur responsabilité pourrait être engagée. Les utilisateurs publiant fréquemment des contenus manifestement illicites devront également être suspendus temporairement. Des signaleurs de confiance seront également mis en place et leurs signalements traités en priorité par les plateformes (par exemple, Pharos en France).
- Cette responsabilisation passe également par des obligations de transparence renforcées (publication fréquente de rapports annuels sur la modération, explicabilité du fonctionnement des algorithmes de recommandation, explication des motifs de suppression d’un contenu, informations supplémentaires sur les produits vendus sur les places de marché etc.).
- Les publicités ciblées sont également encadrées (interdites pour les mineurs et si elles sont fondées sur des données sensibles) et les dark patterns (interfaces menant l’utilisateur à effectuer des actions non souhaitées) interdits afin de protéger le consentement et le libre arbitre du consommateur.
- La lutte contre la désinformation est également au cœur des préoccupations puisque les deep fakes (enregistrements vidéo ou audio modifiés par l’intelligence artificielle) doivent être identifiables et les contenus préjudiciables relativement invisibilisés.
En cas de manquements à ces obligations, les entreprises s’exposent à des amendes allant jusqu’à 6% de leur chiffre d’affaires global, voire à une interdiction temporaire de leur activité en Europe. Si toutes ces obligations semblent pertinentes pour remplir les objectifs recherchés par le texte, il adviendra de veiller à la réelle mise en conformité des différents acteurs concernés, tâche confiée à la Commission européenne et financée par les très grandes plateformes elles-mêmes. Il faudra également veiller à ce que la mise en œuvre de la régulation des contenus en ligne n’atteigne pas de manière disproportionnée la liberté d’expression. En effet, se pose la question de la manière dont les plateformes, souvent extraeuropéennes, vont modérer les contenus illicites, des questions subsistent notamment concernant la capacité des plateformes à modérer les contenus en tenant compte de la culture de chaque pays afin d’éviter la censure. Subsidiairement et compte tenu de la quantité de contenus à modérer, l’utilisation de l’Intelligence Artificielle par les plateformes pour procéder à ces activités de modération pourrait être envisagée – ce qui n’est pas sans risque pour les droits et libertés fondamentaux des utilisateurs.
Les équipes du département Droit des technologies et du numérique du cabinet ALERION Avocats se tiennent naturellement à votre disposition pour vous accompagner dans la mise en conformité de votre activité à ces nouvelles obligations.
Corinne Thiérache, Avocate Associée, et Gwennaelle Caër, Elève-avocate de l’EDA Paris (EFB) du Département du Droit des technologies et du numérique.