: la Cour de cassation appelle les hébergeurs à leurs responsabilités

Publié le 11 avril 2025 par Charles de Laubier

La décision rendue le 26 février 2025 par la Cour de cassation – dans l’affaire opposant Nintendo à DStorage – marque la fin d’une saga judiciaire, qui permet de confirmer les contours du régime de responsabilité des hébergeurs, dans le contexte de l’entrée en vigueur du Digital Services Act (DSA).

Par Olivia Roche et Eva Naudon, avocates associées, Phaos Avocats

Le 26 février dernier, la Cour de cassation a rendu une décision dans le cadre de l’affaire « Nintendo c/ DStorage », mettant en lumière le renforcement des obligations pesant sur les hébergeurs de contenus en ligne. Cet arrêt (1) intervient dans le contexte plus global de l’évolution récente de la législation française et européenne visant à mieux encadrer le rôle des plateformes en ligne dans la lutte contre la diffusion des contenus portant atteinte aux droits d’auteur et aux droits voisins.

Hébergement de copies illicites de jeux vidéo
La société DStorage fournit, depuis 2009, des services d’hébergement et de stockage de données en ligne, notamment à travers le site Internet 1fichier.com, qui est ouvert au public. En 2018, différentes entités du groupe Nintendo ont constaté que des copies illicites de leurs jeux vidéo-phares, tels que « Super Mario Maker » ou « Pokémon Sun », étaient hébergées sur les serveurs de DStorage et mis à disposition du public notamment via ce site web. Les sociétés Nintendo – la maison mère japonaise Nintendo Co Ltd, la société The Pokemon Company, Creatures et Game Freak – ont ainsi entrepris de notifier à la société française DStorage l’existence de ces copies, ainsi que la reproduction servile de différentes de leurs marques. Et cette notification fut faite conformément au formalisme imposé par la loi « Confiance dans l’économie numérique » (LCEN) du 21 juin 2004 (2), dans sa version antérieure à la transposition du Digital Services Act (DSA) de 2022 (3).
En réponse, la société DStorage a invité les sociétés Nintendo à utiliser son outil de retrait dénommé « Takedown tool » ou bien à saisir un juge afin d’obtenir une ordonnance constatant le caractère manifestement illicite des contenus notifiés. Dans un second temps, la société DStorage a également indiqué aux sociétés Nintendo que les contenus violant des droits de propriété intellectuelle n’entreraient pas dans le périmètre des contenus manifestement illicites au sens de la LCEN. Face à l’inaction de la société DStorage, les sociétés Nintendo (suite)
ont engagé une action en responsabilité afin d’obtenir le retrait des contenus. Par un arrêt du 12 avril 2023, la cour d’appel de Paris a fait droit aux demandes des sociétés Nintendo. En n’agissant pas promptement pour retirer ces données, la société DStorage a engagé sa responsabilité en qualité d’hébergeur de contenus. Alors que Nintendo avait valablement suivi la procédure de notification. La cour d’appel a ordonné à la société DStorage de supprimer les contenus litigieux sous astreinte de 1.000 euros par jour, l’astreinte courant sur six mois, et de publier la décision sur son site Internet. Enfin, elle a condamné DStorage à payer à la société Nintendo la somme de 442.750 euros en réparation de son préjudice commercial.
La société DStorage s’est pourvue en cassation en invoquant l’absence de preuve du caractère manifestement illicite des contenus litigieux et que l’injonction de retrait faite par la cour d’appel de Paris reviendrait à imposer une obligation générale de surveillance.
Dans cette affaire, la question tranchée par les juridictions successivement saisies consistait ainsi à déterminer si la société DStorage avait rempli les conditions d’exonération de sa responsabilité, à savoir : la connaissance des contenus illicites résultant de la notification opérée par les sociétés Nintendo, et la diligence dans le retrait des contenus notifiés (4). La LCEN, transposant en droit français la directive européenne « E-commerce » de 2000, prévoit que la responsabilité des hébergeurs de contenus en ligne peut être engagée dès lors qu’ils ont eu connaissance de manière effective de l’existence de contenus manifestement illicites « ou de faits et circonstances faisant apparaître ce caractère », et qu’ils n’ont pas agi promptement pour les retirer ou rendre leur accès impossible (5).

Notification de contenus illicites : formalisme
La LCEN – dans sa version applicable aux faits, soit avant la modification résultant de l’entrée en vigueur du DSA – disposait par ailleurs que « la connaissance des faits litigieux est présumée acquise lorsque la notification est faite conformément à certaines exigences, impliquant notamment une description des faits litigieux et leur localisation précise » (6). Concrètement, le prestataire doit recevoir des éléments permettant à un « opérateur économique diligent » de constater aisément et sans examen juridique approfondi l’existence du caractère manifestement illicite des contenus litigieux. La société DStorage reprochait notamment à la notification effectuée par les sociétés Nintendo de ne pas prouver la titularité des droits d’auteur sur les jeux, ainsi que le caractère contrefaisant des copies diffusées via le site « 1fichier.com », ainsi que de ne pas avoir utilisé leur outil « Takedown tool ». La cour d’appel a confirmé d’une part que les sociétés Nintendo pouvaient se prévaloir des présomptions légales, tant pour la titularité de leurs droits que pour l’originalité des jeux vidéo, en particulier au regard de leur renommée mondiale. Elle rappelle que ces exigences ne sont pas requises par la LCEN, sur la base de laquelle elles engageaient la responsabilité délictuelle de la société DStorage, contrairement à une action en contrefaçon imposant en effet ces démonstrations.

Le DSA n’était pas applicable en 2018
La société DStorage invoquait également le fait que le DSA prévoit que les hébergeurs doivent désormais fournir des outils de notification des contenus illicites, tels que « Takedown tool », permettant d’alléger les obligations mises à la charge des hébergeurs. Néanmoins, comme le rappelle la cour d’appel, ces dispositions n’étaient pas applicables en 2018 et n’étaient donc pas de nature à exonérer la société DStorage de sa responsabilité en raison du non-retrait des contenus litigieux qui lui avaient été notifiés selon les exigences de la LCEN, dans sa version alors applicable. La plus haute juridiction française a rejeté le pourvoi de DStorage et confirmé qu’en l’absence de contestation sur ces points, les demandeurs n’avaient pas à démontrer l’originalité ni la titularité des droits des jeux en cause. Par ailleurs, elle a retenu que les notifications effectuées par les sociétés Nintendo étaient suffisantes au regard des exigences de la LCEN pour permettre d’établir le caractère manifestement illicite des contenus et donc imposer leur prompt retrait par la société DStorage, compte tenu notamment de l’identification précise des contenus et de leur localisation.
La société DStorage considérait que l’injonction de la cour d’appel de retirer les contenus litigieux revenait à lui imposer une obligation générale de surveillance, laquelle est pourtant prohibée par la LCEN (7), et désormais du DSA (8). Néanmoins, la Cour de cassation a également rejeté le pourvoir sur ce fondement. Dans son arrêt, elle rappelle en effet que si les hébergeurs ne sont pas soumis à une obligation générale de surveillance des contenus qu’ils stockent ou transmettent, ni à une obligation générale de rechercher des faits ou circonstances révélant des activités illicites, ils peuvent se voir imposer une activité de surveillance ciblée et temporaire. La mesure ordonnée par la cour d’appel visant des contenus précis et étant limitée à une durée temporaire de six mois, la plus haute juridiction a considéré que le cadre légal de la LCEN et du régime de responsabilité limitée des hébergeurs était respecté. Cette décision s’inscrit dans la continuité de la décision de la chambre commerciale de la Cour de cassation qui, dans une décision de mars 2024, avait rappelé qu’un hébergeur n’est pas susceptible d’être condamné à déployer un dispositif permettant de bloquer l’accès à des contenus illicites de manière illimitée dans le temps et portant sur les éventuels contenus à venir (9).
Bien que le DSA, entrée en vigueur le 17 février 2024, n’ait pas été directement applicable dans cette affaire dont les faits remontent à avant, son influence est perceptible dans les arguments déployés par la société DStorage ou les motifs de la décision de la Cour de cassation. De fait, le DSA vise à renforcer la régulation des grandes plateformes numériques en précisant les obligations de transparence et de diligence imposées en matière de gestion des contenus illicites diffusés grâce à leurs services.
Les hébergeurs sont désormais tenus d’instaurer des systèmes de modération et de notification des contenus illicites. Le DSA prévoit en effet que les fournisseurs de services d’hébergement doivent mettre en place des mécanismes permettant à tout particulier ou toute entité légale de leur signaler la présence de contenus illicites (10), à l’instar de l’outil « Takedown tool » dont se prévalait la société DStorage. Le DSA instaure également des mécanismes pour améliorer le traitement de ces notifications et renforcer leurs obligations à l’égard des injonctions des autorités compétentes, en lien avec des contenus illicites. Le non-respect de ces obligations est susceptible de donner lieu à des amende d’un montant maximum de 6 % du chiffre d’affaires mondial annuel de la grande plateforme numérique concernée.
L’un des enseignements majeurs de l’arrêt du 26 février 2025 réside dans la réaffirmation du principe selon lequel l’hébergeur, pour bénéficier de l’exonération de responsabilité prévue par la LCEN (11), doit agir rapidement et de manière diligente pour retirer les contenus illicites une fois qu’il en a été informé.

Vers des politiques proactives de contrôle
Dans cette décision, la Cour de cassation rappelle que la responsabilité des hébergeurs ne peut être exclue s’ils ne mettent pas en œuvre des moyens raisonnables pour surveiller activement les contenus partagés par leurs utilisateurs. Cette position renforce la nécessité, pour les acteurs du secteur numérique, de mettre en place des mécanismes efficaces de notification et de retrait des contenus illicites. En outre, la plus haute juridiction française incite à la mise en place de politiques proactives de contrôle, d’autant plus dans un contexte où la régulation des plateformes devient de plus en plus stricte. @

Micro-ciblage en Europe : état des lieux, sept ans après le scandale « Cambridge Analytica »

Publié le 28 mars 2025 par Charles de Laubier

Depuis le scandale « Cambridge Analytica » il y a sept ans, dont Facebook est à l’origine et qui a bouleversé notre perception du numérique, l’Union européenne s’est constituée un arsenal réglementaire unique au monde, encadrant le micro-ciblage et la transparence des publicités politiques.

Par Jade Griffaton, avocate counsel, Milestone Avocats

En 2018, le monde découvrait avec stupeur que Facebook avait permis la collecte illégale de données personnelles de plus de 87 millions d’utilisateurs par la société britannique Cambridge Analytica (1). Ces données, minutieusement exploitées entre 2014 et 2015, avaient servi à influencer les électeurs lors de scrutins majeurs, notamment la présidentielle américaine de 2016 et le référendum sur le Brexit de la même année. Ce scandale retentissant a brutalement mis en lumière les dangers considérables que représente le micro-ciblage politique pour l’intégrité des processus démocratiques.

Techniques de persuasion psychologique
Sept ans après cette affaire aux répercussions mondiales, l’Europe a considérablement renforcé son arsenal juridique concernant l’encadrement des publicités politiques et la protection des citoyens contre ces pratiques particulièrement invasives. Le micro-ciblage constitue une méthode de publicité numérique sophistiquée qui exploite méthodiquement les données personnelles pour identifier avec précision les intérêts, les préoccupations et les vulnérabilités d’individus ou de groupes spécifiques. Cette identification minutieuse poursuit un objectif précis : influencer délibérément leurs comportements et leurs opinions politiques par des messages personnalisés.
Contrairement au profilage publicitaire classique, le microciblage politique présente des caractéristiques particulièrement préoccupantes pour nos démocraties. Il transcende la simple identification des personnes en croisant de multiples sources de données pour en déduire des informations particulièrement sensibles telles que les opinions politiques latentes, les convictions religieuses ou l’orientation sexuelle des individus. Cette technique permet (suite)

également la diffusion simultanée de messages parfaitement contradictoires à différents groupes d’électeurs sans que ceux-ci en aient conscience, créant ainsi des espaces informationnels fragmentés et hermétiques. Les stratégies contemporaines de micro-ciblage s’appuient par ailleurs sur des techniques de persuasion psychologique avancées, adaptées avec une minutie inquiétante à chaque profil d’électeur identifié par les algorithmes. Il a été démontré que, selon son degré de sophistication, le micro-ciblage politique peut engendrer plusieurs effets profondément délétères sur le processus démocratique européen. Il renforce significativement la polarisation politique en enfermant méthodiquement les citoyens dans des bulles informationnelles, lesquelles confortent exclusivement leurs opinions préexistantes et limitent drastiquement leur exposition à des points de vue divergents ou contradictoires. Cette technique influence considérablement le comportement électoral, particulièrement auprès des segments les plus vulnérables comme les indécis ou les primovotants, naturellement plus sensibles à ces formes de persuasion personnalisée. Le micro-ciblage contribue également à dégrader substantiellement la qualité du débat démocratique en fragmentant l’espace public en une multitude de sphères de communication isolées, où les citoyens ne partagent plus un socle commun d’informations nécessaire au dialogue civique. Par ailleurs, il amplifie méthodiquement la diffusion de fausses informations en les adaptant spécifiquement aux biais cognitifs de chaque segment d’électeurs, maximisant ainsi leur impact persuasif sans considération pour la vérité factuelle.
Cette capacité inédite à manipuler l’opinion de manière invisible et personnalisée représente actuellement un risque majeur pour l’intégrité des processus démocratiques européens, d’autant plus inquiétant qu’il opère largement sous le radar des régulations traditionnelles des campagnes électorales. Face à ces défis sans précédent, l’Union européenne (UE) a progressivement développé un cadre réglementaire particulièrement ambitieux combinant plusieurs instruments juridiques complémentaires.
• Le RGPD, fondement de la régulation sur la collecte des données (2). Entré en vigueur en 2018, le règlement général sur la protection des données (RGPD) constitue indéniablement la pierre angulaire de la protection contre le micro-ciblage abusif.

Les opinions politiques : données sensibles
Le RGPD impose systématiquement l’obtention d’un consentement libre, spécifique, éclairé et univoque des utilisateurs avant toute collecte et utilisation de leurs données personnelles. Il exige également la limitation stricte de la collecte aux données rigoureusement nécessaires, conformément au principe de minimisation qui vise explicitement à réduire l’empreinte numérique des citoyens européens. Ce règlement accorde aux individus des droits substantiellement renforcés, notamment en matière d’accès complet, de rectification immédiate, d’effacement définitif et d’opposition justifiée au traitement de leurs données. Une protection particulièrement renforcée est accordée aux données catégorisées comme sensibles, parmi lesquelles figurent expressément les opinions politiques des individus. En cas de violation avérée de ces principes fondamentaux, le règlement prévoit des amendes dissuasives pouvant atteindre l’impressionnant montant de quatre pour cent du chiffre d’affaires mondial des organisations contrevenantes.

Des directives et des règlements renforcés
• La directive « ePrivacy 1 » (3), et son évolution nécessaire vers « ePrivacy 2 ». Datant de 2002, la directive « ePrivacy 1 » encadre précisément les communications électroniques et les diverses techniques de traçage en ligne. Elle établit une régulation particulièrement stricte de l’utilisation des cookies et autres « mouchards » numériques, exigeant systématiquement un consentement explicite préalable à leur déploiement pour tout suivi publicitaire. La directive renforce considérablement la protection de la confidentialité des communications électroniques, élément essentiel pour prévenir efficacement la collecte non autorisée d’informations susceptibles d’alimenter les algorithmes de micro-ciblage politique. Sa révision actuellement en cours, vers la directive « ePrivacy 2 » (4) vise à renforcer substantiellement ces dispositions face à l’évolution très rapide des technologies de suivi comportemental.
• Le Digital Services Act (5) et le Digital Markets Act (6), pour la régulation des plateformes. Adoptés conjointement en 2022, ces règlements complémentaires, DSA et DMA, constituent une avancée particulièrement significative dans la régulation des plateformes numériques dominantes. Ils instaurent des obligations de transparence sans précédent concernant les systèmes algorithmiques de recommandation et les mécanismes publicitaires, permettant aux utilisateurs de comprendre précisément pourquoi et comment certains contenus leur sont spécifiquement présentés. Ces textes novateurs interdisent formellement toute forme de ciblage publicitaire basé sur des données catégorisées comme sensibles, classification dans laquelle s’inscrivent naturellement les opinions politiques des citoyens européens. Des obligations substantiellement renforcées s’appliquent désormais aux très grandes plateformes en ligne, qui doivent impérativement procéder à des audits réguliers et approfondis des risques systémiques liés à leurs services, incluant spécifiquement et explicitement ceux susceptibles d’affecter négativement les processus électoraux et la qualité du débat démocratique européen.
• Le règlement « Transparence des publicités politiques » (7), une innovation mondiale. Ce règlement sur « la transparence et le ciblage de la publicité à caractère politique » est une législation pionnière adoptée en 2023 – et applicable à partir du 10 octobre 2025 – vise spécifiquement et exclusivement à encadrer rigoureusement la publicité politique en ligne. Elle instaure une interdiction formelle et sans ambiguïté d’utiliser des techniques de micro-ciblage basées sur des données sensibles dans tout contexte politique ou électoral. Ce règlement impose aux plateformes numériques la création méticuleuse de bibliothèques publiques exhaustives répertoriant l’intégralité des publicités politiques diffusées, assurant ainsi une transparence démocratique sans précédent. Un étiquetage particulièrement clair et visible des publicités politiques devient désormais obligatoire, systématiquement accompagné d’informations détaillées sur l’identité précise du commanditaire et les montants exactement investis dans chaque campagne. Des restrictions significatives et contraignantes sont imposées quant à l’utilisation des données personnelles à des fins de ciblage politique, et une protection spécifiquement renforcée s’applique durant les périodes électorales particulièrement sensibles.
Malgré ces avancées législatives remarquables, plusieurs défis substantiels demeurent, malgré des sanctions exemplaires infligées à plusieurs acteurs majeurs comme Google et Meta. Des pratiques manipulatoires particulièrement sophistiquées, telles que les interfaces délibérément trompeuses comme les « dark patterns » ou les algorithmiques de ciblage complexes, sont régulièrement et systématiquement employés pour obtenir subrepticement un consentement vicié des utilisateurs, qui ne mesurent généralement pas pleinement la portée réelle de leur acceptation apparemment anodine. Autre défi persistant : la circulation internationale des données utilisées pour le microciblage politique. L’invalidation retentissante en 2020 du Privacy Shield (8), cadre qui régulait précédemment les transferts de données entre l’UE et les Etats-Unis, a mis en lumière les risques considérables et sous-estimés associés aux transferts internationaux d’informations personnelles à caractère politique. Le nouveau cadre transatlantique de protection des données, laborieusement adopté en 2023 (9), tente d’apporter une solution juridique viable, mais sa solidité réelle face aux exigences strictes de la jurisprudence européenne reste encore largement à démontrer dans la pratique.

Evolutions technologiques imprévisibles
L’approche réglementaire européenne équilibrée, combinant protection rigoureuse des données personnelles et préservation de l’intégrité démocratique, constitue aujourd’hui une référence mondiale incontestable en la matière. Toutefois, l’évolution technologique rapide et imprévisible – notamment avec les IA génératives – ouvre continuellement de nouvelles possibilités de manipulation politique difficiles à anticiper pour le législateur européen. La sensibilisation des citoyens européens demeure par ailleurs insuffisante, limitant significativement leur capacité à exercer pleinement leurs droits légitimes face aux technologies de persuasion. @

Sur le nombre d’utilisateurs de Telegram, la Commission européenne espère y voir plus clair d’ici octobre

Publié le 16 septembre 2024 par Charles de Laubier

La Commission européenne « doute » que Telegram soit en-dessous des 45 millions d’utilisateurs dans les Vingt-sept. Selon nos informations, les analyses de l’audience de la plateforme cryptée du Franco-Russe Pavel Durov pourraient prendre « au moins un mois » avant de lui appliquer éventuellement le DSA.

« Entre la fin de nos propres analyses que nous sommes en train de mener sur l’audience de Telegram – en distinguant la partie messagerie, qui ne concerne pas le DSA, et la partie groupes ouverts fonctionnant comme un réseau social, relevant du DSA – et le temps qu’il faudra pour s’assurer juridiquement de nos conclusions et de les notifier à l’entreprise Telegram, cela prendra au moins un mois », indique à Edition Multimédi@, Thomas Regnier, porteparole de la Commission européenne. « Nous avons des doutes sur les 41 millions d’utilisateurs en Europe que la plateforme a déclarés en février dernier », ajoute le porte-parole.
Or si la plateforme Telegram atteignait le seuil des 45 millions d’utilisateurs dans les Vingt-sept, elle devrait alors se conformer aux obligations du règlement sur les services numériques, le Digital Services Act (DSA). La Commission européenne a confié à son service Joint Research Center (JRC) le soin d’« étudier la méthodologie de Telegram » (1) dans le calcul du nombre de ses utilisateurs dans l’Union européenne (UE). Bruxelles enquête ainsi discrètement sur Telegram, tandis qu’une procédure judiciaire est en cours en France à l’encontre de son dirigeant fondateur francorusse Pavel Durov (photo), mis en examen le 28 août et placé sous contrôle judiciaire (2).

Telegram, « très grande plateforme en ligne » ?
De son côté, la société Telegram déclare que sa plateforme n’est pas concernée par les obligations du DSA : « Certains éléments non essentiels des services fournis par Telegram peuvent être considérés comme des “plateformes en ligne” dans le cadre du DSA. En août 2024, ces services avaient nettement moins de 45 millions d’utilisateurs actifs mensuels moyens dans l’UE au cours des six mois précédents – ce qui est inférieur au seuil requis pour être désigné comme “très grande plateforme en ligne” » (3).

Telegram indique en outre que les « groupes » d’utilisateurs de sa plateforme, qui en font un véritable réseau social en plus d’être une messagerie cryptée, « comptent jusqu’à 200 000 membres » chacun. Depuis l’entrée en vigueur le DSA le 25 août 2023, sont désignés par la Commission européenne comme « très grande plateforme en ligne », ou VLOP (4), les géants du Net qui totalisent au moins 45 millions d’utilisateurs par mois dans l’UE. Ce seuil est équivalent à 10 % de la population totale des Vingt-sept et doit donc être révisé régulièrement.

« Risques systémiques » et « contenus illicites »
Toute la difficulté pour la Commission européenne est que le calcul restera imprécis, au risque d’être attaquée par Telegram devant la Cour européenne de Justice (CJUE) pour violation du principe de précision consacré par le droit de l’UE. C’est d’ailleurs l’un des arguments du e-commerçant allemand Zalando qui conteste sa désignation comme très grande plateforme en ligne (5). Lorsque Telegram rejoindra le club très fermé de ces plateformes fréquentées mensuellement par au moins 45 millions d’utilisateurs en Europe, la société de Pavel Durov devra alors remplir les obligations renforcées du DSA : évaluer « tout risque systémique », y compris des systèmes algorithmiques, des contenus illicites, ainsi que tout effet négatif sur les droits fondamentaux et la protection de la santé publique et des mineurs. « Les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne mettent en place des mesures d’atténuation raisonnables, proportionnées et efficaces, adaptées aux risques systémiques spécifiques recensés […], y compris la rapidité et la qualité du traitement des notifications relatives à des types spécifiques de contenus illicites et, le cas échéant, le retrait rapide des contenus qui ont fait l’objet d’une notification ou le blocage de l’accès à ces contenus, en particulier en ce qui concerne les discours haineux illégaux ou la cyberviolence », impose le DSA (6). Telegram pourrait y être soumis dès l’automne prochain, comme le sont déjà Alibaba/AliExpress, Amazon Store, Apple/AppStore, Booking, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Bing et Google Search, XVideos, Zalando, Pornhub et Stripchat.
Curieusement, le commissaire européen Thierry Breton en charge du marché intérieur – plutôt prompt à dénoncer les contenus illicites sur le réseau social X (ex-Twitter), qu’il a pris en grippe au point de mettre mal à l’aise la Commission européenne (7) – ne n’est jamais inquiété publiquement de Telegram. Pourtant la réputation de Telegram en matière de contenus illicites et de cybercriminalité est connue dans le monde entier, et a fortiori dans l’UE et bien avant l’entrée en vigueur du DSA il y a un an : contenus criminels, escroquerie, pédocriminalité, revenge porn, trafic de stupéfiants, blanchiment d’argent en bande organisée, apologie du terrorisme, … Il a fallu qu’en France un juge d’instruction du crime organisé mette en examen le patron de la plateforme controversée – pour « refus de communiquer les informations nécessaires aux interceptions autorisées par la loi [française] » – pour que l’on en vienne à se demande pourquoi la Commission européenne n’avait pas elle-même tiré la sonnette d’alarme. Mis en examen en France, Pavel Durov est considéré pénalement comme « personnellement responsable » et donc « complice » des contenus illicites ou cybercriminels présents sur sa plateforme, accusé de ne pas les avoir interdits par un système de modération ou de suppression. Ce que le patron de Telegram réfute, en s’en expliquant dans un post publié le 5 septembre sur sa plateforme : « Telegram a un représentant officiel dans l’UE [la société belge EDSR, ndlr] qui accepte et répond aux demandes de l’UE. Son adresse e-mail (8) a été publiquement rendue disponible (9) pour toute personne dans l’UE qui google [sic] “Telegram EU address for law enforcement”. Les autorités françaises avaient de nombreuses façons de me contacter pour demander de l’aide » (10). Reste qu’il a décidé de coopérer (11).
Pourquoi la Commission européenne n’aurait-elle pas contacté Telegram via EDSR ? Si c’est parce que le seuil des 45 millions d’utilisateurs européens n’a pas encore été établi pour que Bruxelles intervienne directement au nom du DSA, alors pourquoi en deçà de ce seuil l’Arcom, autorité nationale du numérique, ne s’est-elle pas saisie du cas Telegram ? Depuis que la justice pénale française est montée au créneau en incriminant Pavel Durov, Bruxelles botte en touche : « Il n’y a pas eu de communiqué ni de position officielle des commissaires européenne [Thierry Breton ou Margrethe Vestager, ndlr] car la procédure contre le PDG de Telegram lui-même ne concerne pas le DSA », nous a encore expliqué le porte-parole de la Commission européenne. Pour l’instant.

Ses « amis » Emmanuel Macron et Xavier Niel
Le jeune milliardaire (39 ans), né à Léningrad et cofondateur en 2006 du réseau social russe VKontakte, vit à Dubaï (Emirats arabes unis) où il dispose du passeport de « riche investisseur étranger », et y a installé le siège de Telegram. Avant de franciser son nom en 2022 en « Paul du Rove », il a été naturalisé français par décret du 23 août 2021 (12) après avoir eu des rendez-vous avec le président Emmanuel Macron (13). Celui-ci a d’ailleurs tenu à assurer sur X le 26 août que « l’arrestation du président de Telegram sur le territoire français […] n’est en rien une décision politique […] » (14). Tandis que l’AFP indiquait le 29 août que, le soir de son interpellation (le 24 août), Pavel Durov a fait prévenir Xavier Niel de son placement en garde à vue. Sans accord avec la France, il menace de la « quitter ». @

Charles de Laubier

Quel rapport entre le e-commerçant Zalando et trois sites pornos ? Le Digital Services Act !

Publié le 25 mars 2024 par Charles de Laubier

Les plateformes de e-commerce Zalando et pornographiques Pornhub et Stripchat – mais pas XVideos – ont en commun de contester devant la Cour de justice de l’Union européenne (CJUE) leur inscription dans la liste des « très grandes plateformes en ligne » dans les Vingt-sept régies par le DSA.

Le e-commerçant allemand Zalando avait été désigné le 25 avril 2023 par la Commision européenne – dans le cadre du Digital Services Act (DSA) – comme « très grande plateformes » ou VLOP (1) dans le jargon bruxellois, aux côtés de Alibaba/AliExpress, Amazon Store, Apple/AppStore, Booking, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia et YouTube, ainsi que des « très grands moteurs de recherche en ligne » ou VLOSE (2), Bing et Google Search (3). A ce « Big 19 » sont venus s’ajouter le 28 décembre 2023 trois autres VLOP, les plateformes pornographiques Pornhub, Stripchat et XVideos (4).

La Commission européenne devant la CJUE
Chacune de ces vingt-deux plateformes très fréquentées présentent autant de « risque systémique » qu’elles ont l’obligation de gérer pour l’éviter sous peine d’amendes. Mais depuis juin 2023, Zalando demande à la Cour de justice de l’Union européenne (CJUE) l’annulation de la décision de la Commission européenne, celle du 25 avril 2023 listant les dix-neuf géants du Net qui présentent chacun un « risque systémique » et qui sont soumis de ce fait à des obligations renforcées. Et, selon les informations de Edition Multimédi@, la société Aylo Freesites éditrice du site pornographique Pornhub et basée à Chypre – elle-même rachetée il y a un an par le fonds d’investissement québécois Ethical Capital Partners (ECP) –, vient de déposer, le 1er mars 2024, son recours devant la CJUE. Également basée à Chypre, la société Technius – éditrice du site pornographique Stripchat – avait fait de même le 29 février 2024.

Toujours selon nos informations, la société tchèque WGCZ Holding – cofondée par le Français Stéphane Pacaud et éditrice du site pornographique XVideos – ne déposera pas, elle, de recours devant la CJUE. Car le 29 février 2024, le site XVideos a déclaré en ligne avoir environ « 84 millions d’utilisateurs par mois dans l’Union européenne [dont 40 % de visiteurs en sessions incognito, ndlr], soit au-dessus du quota des 45 millions » (5). Depuis l’entrée en vigueur le DSA (6) le 25 août 2023, sont désignés par la Commission européenne comme « très grande plateforme en ligne » ou « très grand moteur de recherche en ligne », les géants du Net qui totalisent au moins 45 millions d’utilisateurs par mois dans l’Union européenne (UE). Ce seuil est équivalent à 10 % de la population totale des Vingt-sept (7). La société Zalando, basée à Berlin en Allemagne et coprésidée par ses cofondateurs Robert Gentz et David Schneider (photos), a été la première « très grande plateforme en ligne » à contester sa désignation comme VLOP. Le 27 juin 2023 (8), le e-commerçant a donc saisi la CJUE pour demander l’annulation de la décision de la Commission européenne. Dans la requête que Edition Multimédi@ a consultée, la société Zalando estime d’abord que « le [DSA] ne lui est pas applicable, ne serait-ce que parce que son service n’est pas un service intermédiaire et, de ce fait, ni un service d’hébergement ni une plateforme en ligne au sens de ce règlement ». Donc, « la condition de la fourniture de contenus tiers n’est pas remplie » puisque « [Zalando] fournit ses propres contenus par l’intermédiaire de la vente de ses articles ».
Et quand bien même « une partie du service devait être qualifiée de “plateforme en ligne’’, cette partie n’atteindrait pas le seuil de 45 millions de destinataires actifs par mois », assure-t-elle, en pointant « des critères erronés » de la Commission européenne. De plus, la société berlinoise considère que « les règles relatives au calcul du seuil sont trop imprécises et enfreignent le principe de précision consacré par le droit de l’[UE] ». Et Zalando d’enfoncer le clou : le calcul du DSA « ne suffit pas, en raison de sa nature juridique et de son libellé lacunaire ». Aussi, « l’imprécision de la méthode de calcul […] viole le principe d’égalité de traitement en prévoyant un seuil global pour l’ensemble des plateformes en ligne, indépendamment des critères fondés sur le risque des services concernés ».

Zalando estime ne pas être « hébergeur »
Autre grief avancé par Zalando pour demander l’annulation de la décision de la Commission européenne à son égard : « L’application du [DSA] constitue une ingérence disproportionnée dans les droits et libertés fondamentaux […] et viole ainsi le principe de proportionnalité », tandis que « la [Commission européenne] n’expose pas, dans sa décision, la raison pour laquelle le service de [Zalando] relève de la notion de “service d’hébergement” […], alors que c’est une condition essentielle pour l’application de […] de ce règlement » (9). Reste à savoir ce que dira dans un premier temps l’avocat général de la CJUE. @

Charles de Laubier

Ce que les GAFAM pensent de l’« accord politique provisoire » européen sur le Digital Services Act

Publié le 16 mai 2022 par Charles de Laubier

Les grandes plateformes « systémiques » concernées par la future régulation du Digital Services Act (DSA) font bonne figure face à l’arsenal législatif qui entrera en vigueur d’ici fin 2023. Google, Amazon, Facebook, Apple ou encore Microsoft devront être plus précautionneux en Europe. Qu’en disent-ils ?

« Nous apprécions les efforts déployés pour créer un marché unique numérique européen plus efficace, clarifier les responsabilités de chacun et protéger les droits en ligne », a déclaré Victoria de Posson (photo de gauche), directrice des affaires publiques de la CCIA Europe, la représentation à Bruxelles de l’association américaine du même sigle, dont sont notamment membres les géants du Net, mais pas Microsoft (1). Elle « reconnaît le travail acharné des décideurs pour parvenir à cet accord historique », tout en mettant un bémol : « Cependant, un certain nombre de détails importants restent à éclaircir » (2). C’est le cas des obligations de retrait de contenus notifiés comme illicites. « Accord politique provisoire » : et après ? Car ce qui a été signé le 23 avril vers 2 heures du matin (3), après de longues négociations entamées la veille, n’est encore qu’un « accord politique provisoire » obtenu à l’arrachée entre les négociateurs de la commission « marché intérieur et protection des consommateurs » (Imco), tête de file dans le processus législatif de ce projet de règlement européen sur les services numériques, et le Conseil de l’Union européenne – dont Cédric O représentait la France qui préside l’Union européenne jusqu’au 30 juin prochain. Le DSA en cours de finalisation prévoit de réguler les grandes plateformes numériques dites « systémiques » pour : les obliger à lutter contre le piratage et les contenus illicites, les contraindre à donner accès à leurs algorithmes, les amener à renforcement de la protection des mineurs notamment vis-à-vis des contenus pornographiques ou vis-à-vis de la publicité ciblée fondée sur des données sensibles (orientation sexuelle, religion, origine ethnique, etc.), les forcer à mieux informer les utilisateurs sur la manière dont les contenus leur sont recommandés. Mais le diable étant dans « les détails importants », la CCIA Europe attend beaucoup de la dernière ligne droite de ce texte unique au monde. Selon les informations de Edition Multimédi@, ce futur règlement DSA devra être approuvé par le Coreper, à savoir le comité des représentants permanents au Conseil de l’UE, et par l’Imco. « Nous espérons que le vote final en plénière aura lieu en juillet, mais cela doit encore être confirmé. Le vote en plénière sera suivi d’un accord formel au Conseil de l’UE », indique une porte-parole du Parlement européen. Pour l’heure, le texte passe par les fourches caudines des juristes-linguistes pour être finalisé techniquement et vérifié jusqu’à la virgule près. Une fois la procédure terminée, probablement l’été prochain, il entrera en vigueur vingt jours après sa publication au Journal officiel de l’UE – sous la présidence cette fois de la République tchèque – et les règles commenceront à s’appliquer quinze mois après, c’est-à-dire au second semestre 2023. Car un règlement européen s’applique dans sa totalité et directement, contrairement à une directive européenne qui donne des objectifs à atteindre par les Etats membres, en leur accordant un délai de plusieurs mois pour les transposer dans la législation nationale. Les GAFAM auront le temps (quinze mois) de se préparer pour ne pas tomber sous le coup de cette nouvelle loi européenne. Par ailleurs, il ne faudra pas s’attendre à ce que le voyage prévu du 23 au 27 mai prochain dans la Silicon Valley par une délégation de la commission Imco – pour notamment visiter plusieurs sièges sociaux de Big Tech telles que Meta (ex-Facebook), Google ou Apple – change les données du problème. Cette délégation d’eurodéputés y rencontrera également d’autres entreprises du numérique, des start-up, des universitaires américains ainsi que des représentants du gouvernement. « La mission aux Etats-Unis n’affectera pas l’accord politique déjà conclu avec les autres institutions. Elle sera une occasion d’explorer plus en profondeur les questions actuelles liées aux dossiers en cours sur le marché unique numérique au sein de la commission du marché intérieur (Imco) », nous précise la porte-parole du Parlement européen. Attention aux libertés fondamentales Cette escapade au pays des GAFAM sera notamment une opportunité pour les députés d’examiner la législation américaine sur le commerce électronique et les plateformes, en faisant le point sur les négociations récemment conclues en rapport avec les dossiers DSA et DMA (Digital Markets Act, pendant concurrentiel du DSA), ainsi que sur d’autres dossiers en cours comme celui sur l’intelligence artificielle. Également contactée, Victoria de Posson n’attend « pas d’impact sur le DSA » de ce voyage. Reste que le DSA, lui, ne sera pas facile à mettre en oeuvre par les GAFAM tant il touche à la liberté des internautes européens. C’est en tout cas ce que pointe DigitalEurope (ex-Eicta), organisation professionnelle des GAFAM entre autres Big Tech (4), et également installée à Bruxelles : « Le cadre du DSA crée un ensemble d’obligations à plusieurs niveaux pour différents types et tailles de services Internet, dont certains seront très complexes à mettre en oeuvre parce qu’ils touchent aux droits fondamentaux comme la liberté d’expression. Nous exhortons tous les intervenants à collaborer de façon pragmatique pour obtenir les meilleurs résultats », prévient sa directrice générale, Cecilia Bonefeld-Dahl (photo de droite). Retrait de contenus : risque de censure Bien que le futur règlement sur les services numériques aidera, d’après DigitalEurope, à rendre l’Internet plus sûr et plus transparent, tout en réduisant la propagation de contenus illégaux et de produits dangereux en ligne, « la modération du contenu sera toujours difficile, compte tenu des intérêts concurrents en cause » (5). D’autant que la réglementation d’Internet est un équilibre entre la protection des droits fondamentaux comme la liberté d’expression, d’une part, et la prévention des activités illégales et nuisibles en ligne, d’autre part. Il y a un an, dans un « position paper » sur le DSA, DigitalEurope se félicitait déjà que « la proposition préserve les principes fondamentaux de la directive sur le commerce électronique, qui ont permis à l’Europe de se développer et de bénéficier d’une économie Internet dynamique ». Et de se dire satisfaite : « Le maintien de principes tels que la responsabilité limitée, l’absence de surveillance générale et le pays d’origine est essentiel à la poursuite de l’innovation et de la croissance de ces services numériques en Europe et sera crucial pour une reprise économique rapide ». Par exemple, le lobby des GAFAM a souligné que le DSA reconnaît que le contenu préjudiciable (mais légal) exige un ensemble de dispositions différent du contenu illégal. Le contenu nuisible et contextuel, difficile à définir, peut être subjectif sur le plan culturel et est souvent juridiquement ambigu. Est apprécié également le fait que le texte impose aux plateformes numériques des « exigences de diligence raisonnable » (signaleurs fiables, traçabilité des négociants et mécanismes de transparence), « de façon proportionnelle et pratique ». De plus, DigitalEurope est favorable pour fournir aux intervenants une transparence significative au sujet des pratiques de modération du contenu et d’application de la loi. « Toutefois, ajoute DigitalEurope, il sera important que les mesures de transparence du DSA garantissent que la vie privée des utilisateurs est protégée, que les mauvais acteurs ne peuvent pas manipuler le système et que les renseignements commerciaux sensibles ne sont pas divulgués » (6). Les intermédiaires de l’écosystème numérique, à savoir les plateformes en ligne que sont les réseaux sociaux et les places de marché, devront prendre des mesures pour protéger leurs utilisateurs contre les contenus, les biens et les services illicites. Une procédure de notification et d’action plus claire permettra aux utilisateurs de signaler du contenu illicite en ligne et obligera les plateformes en ligne à réagir rapidement (les contenus cyberviolents comme le « revenge porn » seront retirés immédiatement). Et ces notifications devront être traitées de manière non-arbitraire et non-discriminatoire, tout en respectant les droits fondamentaux, notamment la liberté d’expression et la protection des données. Quant aux places de marché en ligne, elles seront plus responsables : les consommateurs pourront acheter des produits et services en ligne sûrs et non-illicites, « en renforçant les contrôles permettant de prouver que les informations fournies par les vendeurs sont fiables (principe de “connaissance du client”, (…) notamment via des contrôles aléatoires ». En cas d’infraction à toutes ces obligations et bien d’autres, des pénalités pécuniaires sont prévues à l’encontre des plateformes en ligne et des moteurs de recherche qui pourront se voir infliger des amendes allant jusqu’à 6% de leur chiffre d’affaires mondial. Concernant les très grandes plateformes (disposant de plus de 45 millions d’utilisateurs), la Commission européenne aura le pouvoir exclusif d’exiger le respect des règles. Algorithmes de recommandation, publicité en ligne, protection des mineurs, choix et désabonnement facilités, compensation des utilisateurs en cas d’infraction, … Une multitude de mesures en faveur du consommateur seront mises en place pour un Internet plus sûr. Bruxelles dompte la Silicon Valley Par exemple, les plateformes numériques qui utilisent des « systèmes de recommandation » – basés sur des algorithmes qui déterminent ce que les internautes voient à l’écran – devront fournir au moins une option qui ne soit pas fondée sur le profilage des utilisateurs. « Les très grandes plateformes devront évaluer et atténuer les risques systémiques et se soumettre à des audits indépendants chaque année », est-il en outre prévu (7). Malgré la distance de 8.894 km qui les séparent, Bruxelles et la Silicon Valley n’ont jamais été aussi proches. @

Charles de Laubier

Edition Multimédi@

Economie numérique et Nouveaux médias

Archives par mot-clé : Digital Services Act

« Nintendo c/ DStorage » : la Cour de cassation appelle les hébergeurs à leurs responsabilités