Digital Services Act (DSA) et Digital Markets Act (DMA) : l’Europe vise une régulation équilibrée du Net

Présenté par la Commission européenne le 15 décembre 2020, le paquet législatif « DSA & DMA » – visant à réguler Internet en Europe, des réseaux sociaux aux places de marché – relève d’un exercice d’équilibriste entre régulation des écosystèmes et responsabilités. Son adoption est espérée d’ici début 2022.

Par Laura Ziegler, Sandra Tubert et Marion Moine, avocates, BCTG Avocats

La digitalisation croissante de la société et de son économie a fait naître de nouvelles problématiques sociétales et juridiques que l’arsenal législatif jusqu’alors disponible – en particulier la directive européenne « E-commerce » adoptée il y a plus de vingt ans (1) et transposée en 2004 pour ce qui concerne la France (2) – ne parvient plus à réguler efficacement. Les exemples d’actualité sont nombreux : des contenus illicites ou préjudiciables postés sur les réseaux sociaux, à l’opacité des algorithmes aux conséquences néfastes, … Bien qu’ayant pour ambition commune de réguler le monde digital, le DSA et le DMA poursuivent chacun un objectif distinct.

L’ombre de la directive « E-commerce »
Le projet de DSA. Ce règlement a vocation à remplacer les dispositions relatives à la responsabilité des prestataires de services intermédiaires contenues dans la directive « Ecommerce » (3), et à abandonner la distinction actuelle et quelque peu dépassée entre éditeur et hébergeur. Il vise à établir des règles harmonisées concernant la fourniture de « services intermédiaires », notion qui s’interprète toujours largement et englobe à la fois le transport (4) et la transmission (5) d’informations sur un réseau de communication, la fourniture d’un accès au réseau de communication, ainsi que l’hébergement de données.
En pratique, seront donc concernés : fournisseurs d’accès Internet, bureaux d’enregistrement de noms de domaine (registrars), hébergeurs « cloud » et web, marketplaces, boutiques d’applications (app stores), réseaux sociaux et autres plateformes agissant en qualité d’intermédiaires (plateforme d’économie collaborative, etc.). Plus particulièrement, le DSA aspire à établir un cadre de responsabilité pour les prestataires de services intermédiaires, et à leur imposer des diligences raisonnables qui diffèrent selon la catégorie dont ils relèvent (6) et qui sont au nombre de quatre : services intermédiaires offrant une infrastructure réseau, services d’hébergement, plateformes en ligne réunissant vendeurs et consommateurs et très grandes plateformes. Ces règles trouveront à s’appliquer aux prestataires qui fournissent des services à des destinataires (7) ayant leur lieu d’établissement ou leur résidence dans l’Union européenne (8). Le lieu d’établissement des prestataires est donc sans incidence, dès lors qu’ils présentent un « lien substantiel » avec le territoire européen (9). Evidemment, tous ces prestataires de services intermédiaires ne se verront pas appliquer les mêmes régimes.
S’agissant tout d’abord de leur responsabilité, aucun bouleversement annoncé. En effet, les projets d’articles 3 et 4 du DSA – concernant les services dits de « mere conduit » et de « caching » – reprennent quasiment à l’identique les dispositions des articles 12 et 13 de la directive « Ecommerce » de 2000 : ils ne sont pas responsables des informations qu’ils transportent et/ou transmettent dès lors qu’ils n’ont, en substance, pas une connaissance effective de l’activité ou du contenu illégal ou à défaut, dès lors qu’ils ont agi promptement pour retirer le contenu en cause.
Pas de grand changement non plus pour les hébergeurs qui bénéficieront toujours du régime de responsabilité atténuée. La seule nouveauté relative figure sous son article 5.3. : le régime de responsabilité atténuée ne sera pas applicable si un consommateur concluant un contrat à distance avec des professionnels via une plateforme en ligne est conduit à croire que l’information, le produit ou le service faisant l’objet de la transaction est fournie par cette dernière directement, ou par un destinataire du service agissant sur son autorité ou son contrôle. L’avenir nous dira si ces nouvelles dispositions conduiront les juridictions à adopter une approche plus stricte que celle de l’actuelle jurisprudence basée sur l’interprétation du « rôle actif » des intermédiaires. En revanche, le DSA n’envisage pas d’imposer aux prestataires de services intermédiaires (10) une obligation générale de surveillance (11). Ils y seront cependant encouragés puisque les enquêtes d’initiative volontaires « visant à détecter, identifier, supprimer ou désactiver l’accès à un contenu illégal, (…) » ne leur feront pas perdre le bénéfice de l’exemption de responsabilité (12).

Transparence accrue des intermédiaires
S’agissant ensuite des diligences et obligations qui seront mises à la charge de ces acteurs, certaines seront spécifiques à la catégorie à laquelle ils appartiennent, d’autres seront communes. On relèvera parmi ces dernières, la création d’un « point de contact » permettant une communication directe par voie électronique et l’intégration, dans leurs conditions générales, d’informations rédigées dans un langage clair et sans ambiguïté, sur les politiques, procédures, mesures et outils utilisés à des fins de modération du contenu, y compris sur les algorithmes utilisés pour prendre des décisions. Toujours dans un objectif de transparence accrue, les intermédiaires devront également publier des rapports annuels sur leur activité de modération de contenus. Cette exigence ne devrait pas s’appliquer aux petites et micros entreprises mais devrait être renforcée pour les plateformes en ligne et très grandes plateformes.

Statuts d’hébergeur et contenus illégaux
Concernant plus spécifiquement les services d’hébergement, ceux-ci devront mettre en place des mécanismes d’accès faciles et conviviaux permettant à toute personne de les informer de l’existence de contenus illégaux. Toute décision de suppression ou de désactivation d’un accès à des informations devra en outre faire l’objet d’une information motivée par l’intermédiaire à l’utilisateur concerné (13). Les plateformes en ligne devront en outre créer un système gratuit de traitement des réclamations par voie électronique au sujet des décisions qu’elles sont susceptibles de prendre (modération, suspension, suppression ou résiliation d’un service ou d’un compte utilisateur). Elles auront d’ailleurs, dans ce cadre, l’obligation de suspendre pendant un délai raisonnable, après avertissement, les comptes utilisateurs à partir desquels des abus seront commis (publication de contenus manifestement illicites, et notifications et/ou plaintes manifestement infondées).
Les plateformes mettant en relation commerçants et professionnels devront enfin, procéder à des vérifications élémentaires de l’identité et des coordonnées de ces derniers. Les très grandes plateformes en ligne (14) devront quant à elles procéder, au moins une fois par an, aux études et audits nécessaires pour leur permettre notamment d’identifier les risques systémiques significatifs résultant du fonctionnement et de l’utilisation de leurs services (15). Elles devront également désigner un ou plusieurs responsables de la conformité qui seront chargés de contrôler le respect du règlement DSA. A l’image des « Data Protection Officer » (DPO), ceux-ci devront notamment, faire l’objet d’une désignation officielle auprès des organismes compétents et pouvoir s’acquitter de leurs tâches de manière indépendante. Enfin, les très grandes plateformes pourront être contraintes de fournir un accès à leurs données, en particulier à des chercheurs agréés (16).
Le projet de DMA. Ce règlement-ci ne s’appliquera qu’aux « gatekeepers » ou « contrôleurs d’accès » qui fournissent à des utilisateurs, professionnels ou non, situés dans l’Union européenne (17), des services en ligne essentiels (18). Un prestataire de services essentiels sera présumé être un gatekeeper si celui-ci répond aux trois critères cumulatifs suivants : avoir un impact significatif sur le marché intérieur (en fonction de seuils de chiffre d’affaires et de la valorisation de l’entreprise) ; exploiter un service de « plateforme essentiel » qui sert de passerelle majeure pour les utilisateurs professionnels pour atteindre les consommateurs finaux ; bénéficier d’une position enracinée et durable ou être en voie de bénéficier d’une telle position dans un proche avenir. Le contrôle de l’atteinte de ces seuils quantitatifs incombera tout d’abord aux prestataires de services qui en informeront la Commission européenne. Les gatekeepers fraichement nommés disposeront d’un délai de six mois pour se conformer aux obligations du règlement. Ces désignations pourront bien sûr être reconsidérées, modifiées ou abrogées par la Commission à la lumière de l’évolution des éléments de contexte.
S’agissant de l’étendue de ses obligations, un gatekeeper ayant une position enracinée et durable se verra imposer davantage d’obligations que ceux en voie d’en bénéficier. Dans ce contexte, le règlement introduit plus de quinze obligations et interdictions, parmi lesquelles l’interdiction des pratiques visant à empêcher leurs utilisateurs professionnels de proposer leurs produits et services aux utilisateurs finaux par le biais de services concurrents tiers à des prix ou à des conditions différents (20), ou à traiter plus favorablement, dans le classement, les produits et services qui sont proposés par le contrôleur d’accès lui-même (21), ou encore l’obligation, dans certaines hypothèses, de permettre aux consommateurs de désinstaller les applications logicielles préinstallées ou de fournir aux entreprises qui font de la publicité sur leur plateforme les outils et les informations nécessaires pour effectuer leur propre vérification des annonces publicitaires hébergées par le contrôleur d’accès. Certaines dispositions concerneront par ailleurs, les traitements de données à caractère personnel en imposant des conditions supplémentaires à celles figurant dans le RGPD (22), ou en interdisant purement et simplement certaines pratiques (23). L’interopérabilité est également au coeur des préoccupations puisque le DMA imposera désormais aux contrôleurs d’accès de mettre en place de manière proactive certaines mesures, telles que des mesures ciblées permettant aux logiciels de fournisseurs tiers de fonctionner et d’interagir correctement avec leurs propres services (24). Dans cette même dynamique, les consommateurs devront pouvoir changer d’applications logicielles et de services sans restriction technique (25).

Des sanctions et des astreintes dissuasives
Pour s’assurer de l’effectivité de cette nouvelle régulation, la Commission européenne a mis en place un véritable arsenal puisque tout manquement aux obligations prévues par les DMA et DSA, pourra être sanctionné par une amende pouvant aller jusqu’à 10 % (DMA) et/ou 6% (DSA) du chiffre d’affaires total de l’intermédiaire concerné au cours de l’exercice précédent. Des astreintes pouvant aller jusqu’à 5 % du chiffre d’affaires journalier moyen à compter de sa décision pourront également être prononcées. @

La directive européenne « E-commerce » a 20 ans

En fait. Ce 8 juin marque, jour pour jour, les 20 ans de la directive européenne « E-commerce » datée du 8 juin 2000. Le 2 juin dernier, la Commission européenne a lancé – jusqu’au 8 septembre prochain – deux consultations publiques en vue de notamment de remplacer cette directive par le « Digital Service Act ».

En clair. La directive européenne du 8 juin 2000 sur « certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique » – la fameuse directive « E-commerce » (1) – va bientôt être modifiée, voire remplacée, par le futur « Digital Services Act » (DSA). La Commission européenne, qui a lancé le 2 juin deux consultations jusqu’au 8 septembre, proposera un « paquet législatif » d’ici la fin de l’année. Et ce, en tenant comptes des contributions : à la première consultation « publique » (citoyens compris) via un questionnaire de 59 pages (2), et à la seconde consultation des « parties concernées » par « un nouvel instrument de concurrence » via un autre questionnaire de 47 pages (3).
Mais d’ici là, débats, lobbyings et même polémiques ne manqueront pas de surgir au cours des prochains mois, tant cette réforme législative du marché unique numérique comporte des points sensibles. Il en va ainsi, par exemple, des exemptions de responsabilité dont bénéficient depuis deux décennies les plateformes numériques – GAFAM en tête. La directive « E-commerce » du 8 juin 2000, transposée depuis le 17 janvier 2002 par chacun des Vingt-huit, prévoit en effet dans son article 15 – intitulé « Absence d’obligation générale en matière de surveillance » (CQFD) – que « les Etats membres ne doivent pas imposer aux [plateformes d’Internet] une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ». Cette responsabilité limitée des GAFAM, que leur octroie ce « statut d’hébergeur », a été confortée par la jurisprudence européenne malgré les coups de boutoir des industries culturelles et de leurs organisations d’ayants droits.
Ces dernières n’ont eu de cesse depuis des années d’exiger plus de responsabilité des plateformes numériques dans la lutte contre le piratage des œuvres qui sont protégées par le droit de propriété intellectuelle (4) (*) (**) (***) (****) (*****). Depuis des années, les acteurs du Net sont, eux, vent debout contre toute remise en cause de leur statut protecteur (5), en mettant en avant leur rôle d’intermédiaire technique. Ils ne manqueront pas de défendre becs et ongles leurs intérêts – via notamment leur lobby bruxellois Edima, dont sont membres les GAFAM et d’autres comme Twitter, Snap, eBay ou Verizon Media. @

Le Digital Services Act veut abolir la directive «E-commerce» et responsabiliser les plateformes

La directive « E-commerce » aura 20 ans en juin 2020. La Commission européenne veut la remplacer par le futur « Digital Services Act », une nouvelle législation sur les services numériques où la responsabilité des plateformes sera renforcée. Mais les GAFAM défendent leur statut d’hébergeur.

La vice-présidente exécutive de la Commission européenne chargée d’œuvrer « pour une Europe préparée à l’ère numérique », Margrethe Vestager (photo de gauche), a été missionnée par Ursula von der Leyen – laquelle a succédé il y a près de deux mois à Jean-Claude Juncker – pour coordonner la mise à niveau des règles de responsabilité et de sécurité des plateformes, des services et des produits numériques (1).

Le DSA pour compléter le DSM
Cette réforme d’envergure se fera par une « loi sur les services numériques », appelée Digital Services Act (DSA), que va proposer la Commission européenne cette année pour « compléter » le Digital Single Market (DSM) qui avait été présenté pour la première fois par la Commission « Juncker » il y aura cinq ans en mai prochain. Ce DSA portera sur de nombreux aspects de l’économie numérique et des nouveaux médias, dont la liste n’a pas encore été arrêtée à ce stade. La future proposition de texte, qui sera présentée au Parlement européen (dont la commission juridique prépare un rapport) et au Conseil de l’Union européenne, devrait comporter des mesures de lutte contre les contenus illicites en ligne, d’interdiction de la publicité politique lors de campagnes électorales, ou encore d’action communautaire pour empêcher la cyberhaine et le cyberharcèlement. Pourraient aussi être intégrées dans ce DSA des dispositions pour interdire les fausses nouvelles (fake news) et la désinformation en ligne. Cette future législation européenne sur les services numériques devrait en outre permettre de veiller aux conditions de travail de ceux qui offres leurs services aux plateformes numériques contre rémunération.
Mais le point le plus sensible à traiter par la Commission « Leyen » sera la question des exemptions de responsabilité dont bénéficient les plateformes d’hébergement depuis vingt ans. La directive « E-commerce » de juin 2000, qui est censée être transposée par l’ensemble des Vingt-huit depuis le 17 janvier 2002, prévoit en effet dans son article 15 – intitulé explicitement « Absence d’obligation générale en matière de surveillance » – que « les Etats membres ne doivent pas imposer aux [plateformes d’Internet] une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites » (2). Cette responsabilité limitée des GAFAM a été confortée à maintes reprise par la jurisprudence européenne (3) (*) (**) (***) (****) (*****). Pourtant, un mois après sa prise de fonctions, le nouveau commissaire européen en charge du Marché intérieur, le Français Thierry Breton, a mis d’emblée les pieds dans le plat lors de sa première interview à la presse européenne : « Il faut évidemment mettre les plateformes face à leurs responsabilités. Le monde a changé. L’opinion publique aussi. On ne peut continuer à vivre dans un monde dans lequel cinq ou six grands acteurs stockent 80 % des données de la planète sans se considérer responsables des usages qui en sont faits ! », a-t-il lancé dans Les Echos datés du 8 janvier dernier. Et d’enfoncer le clou : « La directive “E-commerce” a longtemps fonctionné mais l’environnement et les usages ont considérablement évolué depuis son adoption. (…) Mon objectif, c’est de renforcer, vite, la responsabilité des grandes plateformes ». Et d’ajouter en plus : « Je préférerais le faire dans le cadre de la directive “E-commerce” mais nous verrons s’il nous faut aller plus loin » (4).
Son propos catégorique dans le quotidien économique français était une réponse à Edima, qui, la veille, a appelé la Commission européenne à préserver ce statut d’hébergeur à responsabilité limitée. Cette organisation (5), basée à Bruxelles, représente les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) ainsi que Airbnb, Allegro, eBay, Expedia, Mozilla Mozilla, OLX, Snap, TripAdvisor, Twitter, Verizon Media, Yelp et un nouveau membre : Spotify). « La responsabilité limitée doit être réaffirmée. (…) Il est essentiel de garder à l’esprit les avantages du régime établi par la directive sur le commerce électronique, notamment (…) l’interdiction d’une obligation générale de surveillance [d’Internet] », déclare Siada El Ramly (photo de droite), directrice générale de Edima.

Les GAFAM attachés à leur régime
Plutôt que d’abolir la directive « E-commerce », Edima propose un nouveau « cadre de responsabilité en ligne », qui permettrait et encouragerait les fournisseurs de services en ligne à faire davantage pour protéger les consommateurs contre les contenus illicites en ligne. Une brèche dans la responsabilité limitée des plateformes a déjà été ouverte avec la nouvelle directive « Droit d’auteur et droits voisins dans le marché unique numérique » promulgué en mai dernier (6). Ainsi, sans accord avec les ayants droits, les GAFAM seront responsables du piratage en ligne (7) sans qu’ils puissent invoquer le régime de responsabilité limité d’hébergeur. @

Charles de Laubier