L’Union européenne cherche à réguler les espaces numériques. Elle se positionne comme une pionnière en la matière, via les dispositifs législatifs qu’elle met en place, en particulier le Digital Service Act (DSA) et le Digital Market Act (DMA).
L’ambition de l’Union, traduite par ces règlements, est de sécuriser et de réguler les espaces numériques en faisant peser sur les acteurs du numérique des obligations et des responsabilités en cohérence avec leur rôle et leurs pouvoirs effectifs sur les marchés, sur les droits fondamentaux et sur la sécurité des utilisateurs.
Le DSA et le DMA sont deux règlements d’application directe, ce qui permet d’assurer une protection cohérente, uniforme et efficace sur l’ensemble du territoire de l’Union européenne.
Ils entrent progressivement en application depuis 2022 et seront intégralement applicables à partir de février 2024 pour le DSA et mars 2024 pour le DMA.
I. Le Digital Service Act
Le règlement (UE) 2022/2065, dit « DSA », a été adopté le 19 octobre 2022.
Il actualise le dispositif existant en modifiant la directive 2000/31/CE (dite « directive commerce électronique ») devenue obsolète. En effet, les services numériques ont conduit à des transformations sociétales et économiques profondes. Ils sont à l’origine de nouveaux modes d’expression des droits et libertés des citoyens européens, mais sont également sources de risques et défis nouveaux.
L’entrée en vigueur du DSA est progressive : les dispositions concernant les « très grandes » plateformes et moteurs de recherche sont applicables depuis le 25 août 2023, alors que le reste de ses dispositions sera applicable à compter du 17 février 2024.
- L’objectif
Le DSA a été conçu afin de sécuriser les espaces numériques et d’éviter qu’ils deviennent des zones de « non-droit ».
Ce règlement vise à responsabiliser les fournisseurs de services intermédiaires en les impliquant davantage dans la lutte contre la diffusion de contenus illicites (racisme, haine, pédopornographie, désinformation, …) et de produits illégaux (contrefaçon, drogue, …).
Ce dispositif pallie les insuffisances de la directive « commerce électronique » et doit fixer un cadre de régulation moderne et à l’épreuve du temps. Il doit assurer une meilleure protection des droits fondamentaux des internautes et renforcer leur sécurité, sans pour autant brider le développement des services numériques.
- Les acteurs visés
Le DSA impose de nouvelles obligations aux personnes qui proposent des « services intermédiaires » dans l’UE. Pour assurer l’effectivité du DSA, le critère d’application géographique est relié au lieu d’établissement ou de résidence des destinataires du service, et pas au lieu d’établissement du fournisseur du service.
La notion de « service intermédiaire » recouvre les prestations de services de transport d’informations, de mise en cache ou d’hébergement ainsi que les moteurs de recherche en ligne.
Les plateformes en ligne sont particulièrement visées par le DSA, au titre de leur activité de prestataire de service d’hébergement. Elles incluent notamment les places de marché en ligne, les boutiques d’application, les réseaux sociaux ou encore les plateformes de partage de contenus.
Tous les services intermédiaires sont concernés par le DSA. Toutefois, ce règlement est fondé sur une approche asymétrique : des obligations renforcées ont été prévues pour les « très grandes plateformes » et « très grands moteurs de recherche ». Cette approche doit permettre une meilleure appréhension de la réalité et avoir une incidence positive sur la compétitivité et l’innovation dans les services numériques.
Est considéré comme une « très grande plateforme » ou un « très grand moteur de recherche » un service dont le nombre mensuel moyen de destinataires actifs dans l’UE est au moins égal à 45 millions.
- Les nouvelles mesures
Le DSA distingue les dispositions applicables aux différents types de fournisseurs de service intermédiaire, afin de s’adapter, de manière graduelle, au rôle, à l’influence et au pouvoir réels de ces acteurs particulièrement variés.
Tous les fournisseurs de services intermédiaires sont tenus, a minima :
- D’établir un point de contact unique visant à faciliter la communication avec les autorités des Etats membres, la Commission européenne et du comité européen des services numériques ;
- D’établir un point de contact unique visant à faciliter la communication avec les destinataires du service ;
- De désigner, pour les fournisseurs n’ayant pas d’établissement au sein de l’UE, un représentant légal dans un des Etats membres de l’UE afin de faciliter la communication et la coopération avec les autorités ;
- D’inclure, dans leurs conditions générales, les éventuelles restrictions qu’ils sont susceptibles d’imposer à l’utilisation de leur service, notamment dans le cadre d’une activité de modération des contenus ;
- D’établir et de mettre à la disposition du public des rapports de transparence annuels relatifs à leurs éventuelles activités de modération de contenus.
Les fournisseurs d’hébergement (dont les plateformes en ligne) sont, par ailleurs, tenus :
- De mettre en place des mécanismes de notification afin que toute personne puisse signaler la présence d’un contenu illicite ;
- De fournir aux personnes concernées un exposé des motifs justifiant la restriction imposée à l’utilisateur qui a diffusé un contenu illicite ou incompatible avec les conditions générales du fournisseur ;
- De notifier aux autorités compétentes leurs soupçons d’infraction pénale présentant une menace pour la vie ou la sécurité d’une ou plusieurs personnes.
S’ajoutent, pour les fournisseurs de plateforme en ligne (à l’exclusion des micro-entreprises et petites entreprises), les obligations suivantes :
- Mettre en place un système interne de traitement des réclamations contre les décisions de restriction qu’ils ont prises ;
- Informer le destinataire du service, de façon claire et aisément compréhensible, sur sa possibilité d’avoir accès à un règlement extrajudiciaire des litiges par un organe certifié ;
- Veiller au traitement prioritaire des notifications émises par les signaleurs de confiance ;
- Suspendre la fourniture du service aux utilisateurs diffusant fréquemment des contenus manifestement illicites, afin de lutter contre l’utilisation abusive de leur service ;
- Intégrer dans leurs rapports de transparence annuels des informations complémentaires, relatives aux obligations supplémentaires auxquelles ils sont soumis ;
- Organiser leurs interfaces de manière à ne pas tromper ni manipuler les destinataires, et à préserver leur capacité à prendre des décisions libres et éclairées ;
- Veiller à la transparence de la publicité en ligne en communiquant sur sa nature, l’identité de son émetteur et éventuellement celle de la personne qui la paye, ainsi que sur les paramètres utilisés pour cibler le destinataire et, le cas échéant, la manière de les modifier ;
- Indiquer dans leurs conditions générales les principaux paramètres utilisés dans leurs systèmes de recommandation ainsi que les options permettant de les modifier ;
- Mettre en place des mesures appropriées et proportionnées pour garantir la protection des mineurs quant au respect de leur vie privée, à leur sûreté et à leur sécurité ; ils s’abstiennent, à ce titre, de toute publicité sciemment ciblée vers un mineur.
En outre, les fournisseurs de plateformes permettant aux consommateurs de conclure des contrats à distance avec les professionnels (à l’exclusion des micro-entreprises et petites entreprises) sont tenus :
- De ne permettre l’utilisation de leurs services qu’aux professionnels ayant fait l’objet d’une procédure d’identification préalable et de mettre ces informations à la disposition des destinataires du service ;
- De concevoir des interfaces permettant aux professionnels de respecter leurs obligations en matière d’information ;
- D’informer les consommateurs ayant acheté un produit ou service que le fournisseur sait illégal.
Plus spécifiquement, les très grandes plateformes et très grands moteurs de recherche sont soumis aux obligations suivantes :
- Recenser, analyser et évaluer les risques systémiques issus de la conception ou du fonctionnement de leurs services, y compris des algorithmes utilisés ;
- Atténuer ces risques par l’adoption de mesures raisonnables, proportionnées et efficaces ;
- Mettre en place des mécanismes de réaction à des situations de crise;
- Se soumettre à des procédures d’audits par des organismes indépendants, afin d’évaluer leur conformité ;
- Proposer, pour chacun de leurs systèmes de recommandation, au moins une option qui ne repose pas sur du profilage ;
- Veiller à la transparence renforcée de la publicité en mettant à disposition du public un registre contenant des informations supplémentaires sur la publicité présente sur leurs interfaces ;
- Donner accès, pour l’organe compétent, aux données nécessaires pour contrôler et évaluer le respect du DSA ;
- Désigner un responsable de la conformité en créant une fonction spécifique à cet effet ;
- Intégrer dans leurs rapports de transparence annuels des informations complémentaires, relatives aux obligations supplémentaires auxquelles ils sont soumis ;
- Payer à la Commission européenne une redevance de surveillance annuelle.
- Les sanctions
Les Etats membres déterminent et assurent la mise en œuvre des sanctions des violations du DSA.
Le montant des amendes infligées pour violation du DSA peut atteindre 6% du chiffre d’affaires mondial annuel du fournisseur de service intermédiaire concerné. En cas de manquement dans les informations transmises, l’amende peut représenter jusqu’à 1% du chiffre d’affaires mondial annuel.
Des astreintes peuvent être prononcées pour un montant allant jusqu’à 5% du chiffre d’affaires mondial journalier moyens du fournisseur de services intermédiaires.
II. Le Digital Market Act
Le règlement (UE) 2022/1925, dit « DMA », a été adopté le 14 septembre 2022.
Son entrée en vigueur est également progressive. Il a commencé à s’appliquer à la date du 2 mai 2023. Cependant, les contrôleurs d’accès n’ayant été désignés que le 6 septembre 2023, ils ont jusqu’au 6 mars 2024 pour se conformer aux dispositions du DMA.
- L’objectif
Le DMA a été conçu à la suite d’un constat : un petit nombre de grandes plateformes en situation de quasi-monopole capte l’écrasante majorité de la valeur générée par l’économie numérique et bénéficie d’écosystèmes étouffant le développement de la concurrence. Le DMA vient compléter le droit de la concurrence, qui fonctionne selon un mécanisme de sanction ex post, par un dispositif de régulation ex ante.
Le DMA vient lutter contre les pratiques anti-concurrentielles des grands acteurs du numériques et corriger les déséquilibres liés à leur domination du marché numérique
Ce dispositif doit permettre aux utilisateurs finaux et aux entreprises utilisatrices de bénéficier pleinement de l’économie numérique, sur des marchés contestables et équitables.
- Les acteurs visés
Le DMA encadre l’activité des « contrôleurs d’accès », aussi appelés « gatekeepers », qui proposent des « services de plateformes essentiels » à des entreprises utilisatrices ou à des utilisateurs finaux établis au sein de l’UE. De la même manière que pour le DSA, le lieu d’établissement du fournisseur du service est indifférent.
Le DMA fixe une liste exhaustive de « services de plateforme essentiels ». Elle inclut les services d’intermédiation, les moteurs de recherche, les réseaux sociaux, les plateformes de partage de vidéos, les services de communications interpersonnelles non fondés sur la numérotation, les systèmes d’exploitation, les navigateurs, les assistants virtuels, les services d’informatique en cloud et les services de publicité en ligne. Ont notamment été identifiés comme des services de plateforme essentiels : Amazon®, Google Search®, Tiktok®, Facebook®, Instagram®, Youtube®, WhatsApp®, iOs® ou encore Safari®.
Un « contrôleur d’accès » est une entreprise qui, en plus de fournir des services de plateforme essentiels :
- A un poids important sur le marché intérieur ;
- Constitue un point d’accès majeur pour que les entreprises utilisatrices touchent les utilisateurs finaux ;
- Bénéficie d’une position solide et durable sur le marché.
Ainsi, contrairement au DSA, le DMA ne vise que les acteurs systémiques qui profitent d’une position particulièrement importante sur le marché numérique. Ce champ d’application restreint est en cohérence avec l’objectif du texte, qui est de pallier les effets négatifs issus de la domination du marché par certains grands acteurs.
La Commission européenne a actuellement identifié 6 contrôleurs d’accès : Alphabet (Google), Amazon, Apple, Meta, Microsoft et ByteDance (Tiktok).
- Les nouvelles mesures
Le DMA met à la charge des contrôleurs d’accès plusieurs obligations afin d’améliorer la contestabilité et la loyauté des marchés numériques.
Certaines de ces obligations assurent aux entreprises utilisatrices une certaine indépendance vis-à-vis des contrôleurs d’accès, telles que :
- L’interdiction d’empêcher les entreprises utilisatrices de proposer les mêmes produits et services aux utilisateurs finaux et de conclure des contrats avec eux en dehors du service du contrôleur d’accès, et à des conditions ou prix différents de ceux proposés sur le service ;
- L’interdiction de pratiquer l’ « auto-préférence», c’est-à-dire de traiter plus favorablement les produits et services que le contrôleur d’accès propose lui-même ;
- L’obligation d’élaborer des conditions générales équitables, raisonnables et non discriminatoires à l’égard des entreprises utilisatrices, notamment en matière de résiliation du service ;
D’autres obligations sont davantage orientées vers la protection des utilisateurs finaux et de leur liberté de choix, comme par exemple :
- L’obligation d’assurer aux utilisateurs finaux la portabilité effective des données fournies ou générées par eux ;
- L’obligation de permettre à l’utilisateur d’installer et de désinstaller facilement les applications logicielles interopérant avec le système d’exploitation, qu’il s’agisse d’applications de tiers ou d’applications préinstallées dans le système ;
- L’obligation de permettre à l’utilisateur final de se désabonner facilement du service de plateforme essentiel ;
- L’obligation de permettre l’interopérabilité entre les fonctionnalités de base des différents services de communication interpersonnelles non fondés sur la numérotation.
Le DMA impose également aux contrôleurs d’accès des restrictions en matière de traitement des données personnelles des utilisateurs. Il interdit la publicité ciblée sans le consentement de l’utilisateur ainsi que le croisement des données d’un même utilisateur ayant recours à plusieurs services fournis par le même contrôleur d’accès.
Enfin, le contrôleur d’accès doit faire preuve de transparence envers la Commission européenne :
- Il a l’obligation de l’informer de tout projet de concentration avec une entreprise de service du secteur numérique ou permettant la collecte de données ;
- Il a également l’obligation de décrire les techniques de profilage des consommateurs utilisés dans ses services, de faire auditer cette description par un organisme indépendant, et de transmettre cette description auditée à la Commission européenne et d’en communiquer un aperçu au public.
- Les sanctions
En cas de non-respect du DMA, la Commission européenne peut sanctionner le contrôleur d’accès par une amende allant jusqu’à 10% de son chiffre d’affaires total mondial, voire 20% en cas de récidive.
En cas de manquement à leurs obligations d’informations, la Commission peut condamner les contrôleurs d’accès à une amende allant jusqu’à 1% de leur chiffre d’affaires total mondial.
Des astreintes peuvent également être prononcées, pour un montant allant jusqu’à 5% du chiffre d’affaires journalier moyen du contrôleur d’accès concerné.
19.02.2024
Maélys SAINGRA