Europe : iMessage d’Apple enfreint le règlement DMA

En fait. Le 7 septembre, à la conférence Code 2022 de Vox Media, le PDG d’Apple Tim Cook a fait part de son désintérêt pour le nouveau protocole RCS (Rich Communication Services) censé remplacer à terme SMS et MMS. La messagerie iMessage des iPhone de la marque à la pomme n’est pas « DMA-compatible ».

En clair. La messagerie iMessage d’Apple enfreint le règlement européen sur les marchés numériques, le fameux DMA (Digital Markets Act), en étant non-interopérable avec le protocole de messagerie RCS déjà utilisé par plus de 420 millions de mobinautes dans le monde. Dans son article 7, le DMA oblige tout « contrôleur d’accès » [gatekeeper], comme Apple, de « rend[re] interopérables au moins les fonctionnalités de (…) messagerie textuelle, (…) partage d’images, de messages vocaux, de vidéos et d’autres fichiers joints ». Cross-plateforme, RCS – Rich Communication Services – est justement plébiscité comme messagerie instantanée et réseau social multimédia (texte, photo, vidéo, audio, …) fonctionnant sous IP sur les mobiles.

Google est très remonté contre Apple
Promu par les opérateurs mobiles au sein de la GSMA et par Google, ce standard remplacera à termes les SMS/MMS. Tim Cook (photo), PDG de la marque à la pomme, est censé se mettre en conformité avec le DMA qui a été adopté le 18 juillet dernier et qui sera applicable par les Vingt-sept « six mois après son entrée en vigueur [laquelle est prévue le vingtième jour suivant la publication au Journal Officiel de l’UE, ndlr] » – à savoir d’ici fin 2022 ou début 2023. Apple sera alors obligé de « publier (…) les détails techniques et les conditions générales d’interopérabilité avec [iMessage, ndlr] ». La Commission européenne, elle, pourra consulter les « Arcep » de l’UE au sein du Berec (1) afin de déterminer si « l’offre de référence » d’Apple lui permet de « se conformer avec cette obligation ». Si l’iMessage des iPhone devait rester incompatible avec Continuer la lecture

Bataille du cloud : la Commission européenne pressée par OVH et Nextcloud d’enquêter sur Microsoft et d’autres

Après l’allemand Nextcloud, membre d’Euclidia, c’est au tour du français OVH, dont un dirigeant préside le Cispe, de faire savoir qu’il a aussi déposé plainte en 2021 auprès de la Commission européenne contre Microsoft accusé de favoriser ses services sur son cloud Azure. Margrethe Vestager va-t-elle lancer une enquête ?

Le groupe français OVH a porté plainte auprès de la direction générale de la concurrence (DG Competition) de la Commission européenne contre l’américain Microsoft pour abus de position dominante avec son service de cloud Azure. C’est ce qu’a révélé le 16 mars le Wall Street Journal, information confirmée le même jour, notamment auprès d’Euractiv. Le français du cloud n’est pas le seul à accuser la firme de Redmond de favoriser ses propres logiciels, dont la suite Office, dans son infrastructure nuagique Azure et de ne pas les rendre optimaux sur des plateformes de cloud concurrentes. Selon les constations de Edition Multimédi@, OVH – société fondée en 1999 à Roubaix, dans le Nord de la France, par Octave Klaba (photo), son actuel président et principal actionnaire – est membre fondateur de l’association des fournisseurs de services d’infrastructure cloud en Europe (Cispe), où l’on retrouve parmi ses vingt-cinq membres le géant Amazon Web Service (AWS), le français Outscale (Dassault Systèmes), le finlandais UpCloud, le néerlandais Altus Host, l’italien Aruba.it ou encore l’espagnol Gigas.

Porter plainte présente des risques de représailles
Cette coalition Cispe est présidée depuis sa création en octobre 2016 par Alban Schmutz, vice-président d’OVH en charge du développement et des affaires publiques. Elle est aussi par ailleurs membre fondateur de GaiaX, le cloud souverain européen. Pour autant, ni le Wall Street Journal ni Euractiv ne mentionnent l’existence de ce lobby Cispe, basé à Bruxelles, lequel prend acte le 17 mars des révélations du quotidien économique et financier américain concernant la plainte d’OVH mais, curieusement, sans nommer OVH ni dire qu’il est l’un des membres fondateurs de Cispe et qu’Alban Schmutz en est le président depuis près de six ans. De plus, la plainte d’OVH auprès de la Commission européenne remonte à l’été 2021 et n’est révélée que mi-mars et elle n’est pas la seule à avoir été déposée contre Microsoft car d’autres prestataires de cloud européens – dont les noms ne sont pas dévoilés – l’on fait de leur côté. Pourquoi  Continuer la lecture

DSA & DMA : compromis numérique en vue entre les Etats membres, à défaut de consensus

Les deux propositions de règlement, l’un pour un « marché unique des services numériques » (DSA) et l’autre sur les « marchés contestables et équitables dans le secteur numérique » (DMA), entrent dans leur dernière ligne droite législative. La Commission européenne en a été l’initiatrice il y a un an.

L’issue des tractations et des lobbyings autour des deux propositions de règlement DSA (Digital Services Act) et DMA (Digital Markets Act) va maintenant se jouer entre l’actuelle présidence slovène de l’Union européenne (jusqu’au 31 décembre) et la prochaine présidence française (du 1er janvier au 30 juin 2022). Une réunion des Etats membres des Vingt-sept est prévue le 25 novembre – « Rue de la Loi », dans les locaux de la Commission européenne à Bruxe l le s – s o u s le thème de « Compétitivité » dans le marché intérieur et l’industrie.

Pays d’origine ou de destination ?
Si la présidence du Conseil de l’Union européenne (UE) est tournante, au rythme semestriel, la présidence de la Commission européenne – actuellement Ursula von der Leyen et son bras armé digital Margrethe Vestager (photo) – poursuit son mandat de cinq ans jusqu’à fin 2024 (renouvelable une fois). L’exécutif européen entend bien être doté d’ici-là de pouvoirs pour veiller à la bonne application des deux propositions de règlement – DSA et DMA – qu’elle avait présentées le 15 décembre 2020, il y a près d’un an. Dans le projet de compromis du DSA daté du 18 novembre, que Edition Multimédi@ s’est procuré (1), il est prévu que « la Commission [européenne] dispose des pouvoirs de supervision et d’application des obligations applicables aux très grandes plateformes en ligne ou aux très grands moteurs de recherche en ligne ». Ce projet de texte sur le « marché unique des services numériques » sera soumis, comme celui sur les « marchés contestables et équitables dans le secteur numérique », aux gouvernements des Etats membres qui se réunissent donc le 25 novembre pour tenter d’adopter une position commune sur la régulation de l’Internet. Sont aussi prévues, à l’ordre du jour (2), des délibérations législatives sur le projet de compromis du DMA, daté lui du 5 novembre et que nous sommes également procurés (3).
L’un des points de divergence entre les Etats européens portait sur le principe du pays d’origine, qui, dans la proposition initiale de la Commission européenne, donne compétence transfrontalière au pays où l’entreprise numérique est établie, contrairement au principe du pays de destination. Des pays, dont la France, ont milité contre ce principe du pays d’origine, préféré par des pays comme l’Irlande ou le Luxembourg où de nombreuses Big Tech ont leur siège social européen. Par exemple, Google/ YouTube, Facebook, Microsoft et Apple ont leur quartier général européen respectif en Irlande (à la fiscalité super attractive de 12,5 %) – les trois premiers à Dublin et le dernier à Cork. Mais une dizaine de pays de l’UE emmenés par l’Irlande justement ont fait barrage à la France en estimant que le principe du pays de destination avancée par celle-ci présentait des risques de fragmentation du marché unique numérique et risquait de devenir une usine à gaz administrative pour les plateformes digitales concernées.
« Nous défendons l’idée que la Commission [européenne] puisse jouer un rôle plus important dans la régulation directe », avait déclaré le président de la République française, Emmanuel Macron, le 22 octobre dernier à l’issue du sommet européen (4). Par la suite, de façon à limiter le principe du pays d’origine (à défaut d’avoir eu gain de cause sur le principe du pays de destination), la France a proposé que l’exécutif européen ait « une autorité exclusive » sur les très grandes plateformes en ligne transfrontalière – ce que l’on désigne à Bruxelles par le sigle VLOP (Very Large Online Platforms), pour ne pas dire GAFAM. L’idée de la présidence slovène – à laquelle adhère la France et d’autres Etats membres soucieux d’éviter les blocages et les impasses (5) – est de donner les pleins pouvoirs à la Commission européenne – et notamment à son actuelle vice-présidente Margrethe Vestager – pour ne pas laisser faire des pays comme l’Irlande si le principe du pays d’origine était appliqué dans la mise en œuvre des futurs règlements DSA et DMA.

Compromis de la présidence slovène
C’est le 26 octobre dernier que le gouvernement français a formalisé sa proposition à travers des amendements portant sur le pouvoir de régulation de la Commission européenne sur le marché unique numérique. Finalement, la France s’est ralliée au compromis de la présidence slovène : maintenir le principe du pays d’origine, renoncer à la compétence exclusive de la Commission européenne sur les VLOP, mais en revanche « il faudrait au moins trois Etats membres pour demander à l’autorité dirigeante d’un autre pays d’ouvrir une enquête » à l’encontre d’une plateforme numérique. Et dans le cas où un Etat membre (via son autorité de la concurrence ou celle de la protection des données par exemple) serait en désaccord avec au moins un autre pays européen, ou à l’inverse ne prenait aucune mesure, la Commission européenne serait en droit de reprendre la main sur l’affaire. « Les conclusions préliminaires de l’enquête seraient ensuite communiquées au conseil d’administration des “coordonnateurs des services numériques” [ou Digital Services Coordinators (DSC), ndlr], qui rendra son avis à la Commission européenne qui en tiendra compte dans sa décision finale ». Après cette procédure d’enquête, l’exécutif européen devra faire part – dans un délai de deux mois – de sa décision contraignante pour l’autorité nationale concernée.

Pouvoirs de la Commission européenne
La Commission européenne pourrait devenir un super régulateur vis-à-vis des GAFAM, en ayant à trancher sur des différends portant sur les contenus circulant sur les grandes plateformes transfrontalières (contenus illicites, fausses informations, œuvres piratées, violations de la vie privée, etc.). La modération des échanges sur les réseaux sociaux tels que Facebook, Twitter, TikTok ou Snapchat pourrait par exemple être délicate pour l’exécutif européen, chargé de s’assurer que les contenus illicites et les cyberhaines sont bannis, car cela pourrait heurter dans certains cas les sensibilités nationales et porter atteinte à la liberté d’expression. Egalement délicats à réguler, les « deepfake » seront, eux, dans le viseur du futur règlement Artificial Intelligence Act (lire p. 4). Quant à la lutte contre les fake news, la désinformation et aux rumeurs non fondées, elle ne s’appuiera pas directement sur le règlement DSA mais sur le code de bonnes pratiques lancé en 2018 par la Commission européenne avec Google, Facebook, Twitter, Microsoft, Mozilla et TikTok, ainsi qu’avec des entreprises du secteur de la publicité. Ce « Code européen de bonnes pratiques contre la désinformation » a été revisité en mai dernier (6) après qu’il ait été jugé insuffisant par une autre vise-présidente de la Commission européenne, Véra Jourová, (chargée, elle, des valeurs et de la transparence), et par la Cour des comptes européenne dans un rapport publié en juin dernier (7). Ce dispositive d’auto-régulation est en train d’être durci avec les plateformes et acteurs concernés afin qu’une nouvelle version renforcée soit opérationnelle début 2022. Du côté des industries culturelles cette fois, les attentes sont élevées et les actions de lobbying aussi (8). Pour elles – musique, audiovisuel, presse, livre, photo, télévision, sports, jeux vidéo, etc. –, le projet de règlement DSA est déjà « une occasion manquée et un pas en arrière ». Plus d’une vingtaine d’organisations culturelles les représentant l’ont fait savoir directement à la présidence slovène, à la rapporteure du DSA au Parlement européen, Christel Schaldemose (9), ainsi qu’aux Etats membres, dans une « lettre ouverte » datée du 26 octobre dernier (10). « Si les propositions, dans leur forme actuelle, étaient approuvées, le DSA affaiblirait le régime actuel de responsabilité [des plateformes numériques ou hébergeur, ndlr] et aurait un effet néfaste sur les normes et les bonnes pratiques existantes en matière de traitement des contenus et activités illégaux, y compris les violations en ligne du droit d’auteur et des droits voisins », mettent en garde les industries culturelles. Parmi les signataires de cette missive, il y a par exemple l’IFPI pour les producteurs de musique enregistrée (dont fait partie le Snep en France), la FEP pour les éditeurs de livre (dont est membre le SNE en France), Eurocinema pour les producteurs cinématographiques et audiovisuels (dont font partie l’UPC, le SPI ou l’ARP en France), ou encore la Gesac pour les sociétés d’auteurs et de compositeurs (donc la Sacem). En revanche, la presse n’est curieusement pas représentée. Dans leur « signal d’alarme », les industries culturelles s’en prennent à la « sphère de sécurité » (safe harbour) aménagée pour les moteurs de recherche qui bénéficient, selon elles, d’« une immunité large et injustifiée » – alors qu’ils sont tenus par ailleurs de supprimer promptement et efficacement les contenus illicites. « Nous sommes également très préoccupés par les propositions prévoyant que les services intermédiaires puissent continuer à bénéficier des privilèges du safe harbour », ajoutent les signataires. Ils fustigent aussi « l’introduction de délais spécifiques (même supérieurs) pour la suppression de contenu illicites [qui] affaiblirait considérablement l’obligation actuelle de prendre des mesures “expéditives” ». « Pas assez », disent les industries culturelles Les industries culturelles préconisent au contraire « le “retrait rapide” autrement dit “le plus rapidement possible” pour tout le contenu [illicites ou piratés, ndlr], et même “immédiatement” pendant la diffusion en direct [de retransmission d’événements sportifs par exemple, ndlr] et pour le contenu qui a une sensibilité particulière au temps ». Dernier grief : la vingtaine d’organisations culturelles demandent à ce « que le champ d’application des obligations soit étendu pour assurer la traçabilité des utilisateurs professionnels (Know Your Business Customer) afin de s’attaquer au grave problème des opérateurs illégaux agissant à l’échelle commerciale et se cachant derrière de fausses identités ». A suivre. @

Charles de Laubier

Digital Services Act et Digital Markets Act : projets règlements européens sous influences

La proposition de règlement pour un « marché unique des services numériques » (DSA) et la proposition de règlement sur les « marchés contestables et équitables dans le secteur numérique » (DMA) sont sur les rails législatives. Chacun des rapporteurs est très courtisé par les lobbies.

La commission du marché intérieur et de la protection des consommateurs (Imco) du Parlement européen s’est réunie le 21 juin dernier pour examiner les projets de rapports de respectivement Christel Schaldemose (photo de gauche), rapporteur du projet de règlement DSA (Digital Services Act), et de Andreas Schwab (photo de droite), rapporteur du projet de règlement DMA (Digital Markets Act). Dans les deux cas, le délai pour le dépôt des amendements avait été fixé au 1er juillet.

Des rapporteurs influencés par les lobbies
La Danoise socialiste et l’Allemand démocrate-chrétien sont les rapporteurs les plus courtisés du moment par les lobbies. Et pour cause : leur projet de rapport respectif propose de multiples amendements au paquet législatif initialement présenté par la Commission européenne le 15 décembre 2020, composé du projet de règlement DSA, d’une part, et du projet de règlement DMA, d’autre part. Le premier texte règlementaire vise à mieux responsabiliser les plateformes Internet jusqu’alors protégées par leur statut d’hébergeur par la directive européenne « E-commerce » qui leur accorde une responsabilité limitée. Le second texte veut imposer à la dizaine de grandes plateformes numériques dites « systémiques » (dont les GAFAM) des contraintes antitrust et empêchant les abus de position dominante de certains écosystèmes.
Déjà, lors de la publication des textes il y a plus de six mois, les GAFAM avaient exprimé leur préoccupations face cette nouvelle régulation de l’Internet à venir, craignant pour « l’innovation numérique », « les droits fondamentaux », « la liberté d’expression et de création », « le secret des algorithmes » ou encore « les risques de sanctions financières » (1). Les projets de DSA (2) et de DMA (3) poursuivent leur marathon euro législatif ; ils passent à ce stade par les fourches caudines des eurodéputés réunis au sein de la décisive commission du marché intérieur et de la protection des consommateurs (Imco) où les deux rapporteurs ont été désignés fin janvier. Chacun a rendu son rapport, datés respectivement du 28 mai 2021 pour celui Christel Schaldemose sur le futur DSA et du 1er juin 2021 pour celui de Andreas Schwab sur le futur DMA. Les deux rapports actuellement examinés présentent de multiples amendements apportés aux textes législatifs qu’avaient proposés la Commission européenne. C’est dans l’élaboration de ces amendements que joue à plein le lobby des GAFAM et bien d’autres entreprises, organisations ou personnes « ayant apporté leur contribution à la rapporteur » (DSA) et « ayant apporté leur contribution au rapporteur » (DMA) « pour l’élaboration du projet de rapport ». Ainsi, comme ils l’ont indiqué dans une annexe de leur rapport, Christel Schaldemose a eu affaire à 56 contributeurs et Andreas Schwab à 51 contributeurs. Pour les deux projets de rapport, on retrouve les GAFAM : Google, Amazon, Facebook, Apple et Microsoft (exceptés Apple côté DSA et Microsoft côté DMA). L’eurodéputée rapporteur a aussi eu l’oreille de Alibaba, Airbnb, Huawei, Match Group, Reddit, TikTok, Wikimedia, Schibsted, Dropbox ou encore de Zalando. Elle a aussi été approchée par les organisations des GAFAM et autres Big Tech : Computer & Communications Industry Association (CCIA), Dot Europe (ex-Edima), ainsi que DigitalEurope (ex-Eicta).
Quant à l’eurodéputé rapporteur, il a aussi eu affaire de son côté à Netflix, Spotify, Snap, Expedia, Booking, Criteo, IBM, Salesforce, Kelkoo Group, DuckDuckGo ou encore à Yelp. Il a aussi été en contact avec la CCIA et la GSMA. L’Etno, association des opérateurs télécoms européens (historiques en tête), a aussi conseillé, influencé ou orienté – c’est selon – Christel Schaldemose et Andreas Schwab dans leurs travaux parlementaires. Jamais un paquet législatif européen n’a fait l’objet d’un tel lobbying intense. Ou bien, faut-il remonter à la libéralisation des télécoms de la fin des années 1990 pour retrouver une telle pression ou influence des acteurs concernés sur les travaux parlementaires.

Bras de fer entre Big Tech et l’Europe
Plus de vingt ans après le premier « paquet télécoms » (4) et plus de dix ans après le second « paquet télécoms » (5), ce nouveau « paquet DSA/DMA » est l’un des plus grands cadres règlementaires que l’Union européenne (UE) s’apprête à adopter. Les instances européennes et les industries culturelles veulent mettre au pas les GAFAM en les responsabilisant voire en les sanctionnant sur les contenus dits « illicites » qu’ils hébergent et véhiculent. Tandis que les géants du numériques plaident plus une régulation raisonnée de l’Internet pour ne pas porter atteinte aux droits fondamentaux. Les amendements contenus dans les deux projets de rapport illustrent le bras de fer qui s’opère dans les couloirs du Parlement européen et parfois sous le manteau des eurodéputés. Le salon parisien Vivatech a d’ailleurs été utilisé comme tribune par des Big Tech pour critiquer la future réglementation de l’Internet. Le 16 juin, le patron d’Apple, Tim Cook, en a profité pour mettre en garde contre notamment un DMA qui « détruirait la sécurité de l’iPhone et d’initiatives pour la vie privée ».

Conso, place de marché, pub en ligne
• Dans le projet de rapport Schaldemose de 145 pages (6) sur le « marché unique des services numériques » (DSA), plusieurs amendements vont dans le sens des consommateurs internautes et mobinautes. Par exemple, le n°1 ajoute dans les garanties du futur règlement DSA « un niveau élevé de protection des consommateurs », en plus du respect des droits fondamentaux des citoyens européens (liberté d’expression et d’information, liberté d’entreprise, droit à la non-discrimination, …). L’amendement n°4, lui, tend à « éviter un retrait excessif de contenus juridiques » en précisant que les contenus illicites sont considérés comme tels s’ils « ne sont pas conformes au droit de l’Union (européenne) ». Et Christel Schaldemose de justifier ce rajout : « Cela afin de garantir que, par exemple, une vidéo montrant une voiture qui roule trop vite ne relève pas de la définition, à moins qu’une référence à une activité illicite ne soit en soi illégale, selon le droit de l’Union ou d’un Etat membre (par exemple, des contenus pédopornographiques, des contenus à caractère terroriste, etc.) ».
Autre mesure pro-consommateur : l’amendement n°23 propose de supprimer un considérant de la Commission européenne qui prévoyait de ne pas soumettre les micro entreprises ou les petites entreprise (TPE) au règlement DSA. Motif : « Les lois sur la protection des consommateurs ne font pas la distinction entre les petites et les grandes entreprises. Les obligations [système interne de traitement des réclamations, règlement extrajudiciaire des litiges, signaleurs de confiance, mesures de lutte et de protection contre les utilisations abusives, notification des soupçons d’infraction pénale, transparence de la publicité en ligne, … (7) ndlr] devraient également s’appliquer aux micro entreprises et aux petites entreprises afin de protéger les consommateurs et les bénéficiaires des services des contenus illicites ». L’amendement n°73, lui, introduit des conditions supplémentaires pour que les places de marché en ligne ne bénéficient pas de l’exemption de responsabilité lorsqu’elles vendent des produits et services illicites. « Une plateforme en ligne ne bénéficie pas de l’exemption de responsabilité si elle ne respecte pas certaines obligations de diligence fixées dans le présent règlement ou lorsqu’un professionnel d’un pays tiers n’a pas, au sein de l’Union, d’opérateur économique responsable de la sécurité des produits. Les consommateurs seront en mesure de déposer un recours contre la plateforme en ligne et, en retour, cette dernière sera en mesure de déposer un recours contre le professionnel ». Christel Schaldemose tient d’ailleurs à respecter le principe selon lequel « ce qui est illégal hors-ligne est également illégal en ligne ».
Concernant cette fois la publicité en ligne, elle estime que « la collecte et l’utilisation généralisées des données des utilisateurs à des fins de publicité ciblée, micro-ciblée et comportementale sont devenues incontrôlables ». Aussi, l’amendement n°92 ajoute un article prévoyant que « le fournisseur de services intermédiaires est tenu, par défaut, de ne pas laisser les bénéficiaires de ses services faire l’objet de publicité ciblée, micro-ciblée et comportementale, à moins que le bénéficiaire des services n’ait donné son consentement libre, spécifique, informé et non ambigu ». Quant à l’amendement n°91, il étend la portée de la transparence de la publicité en ligne à tous les services intermédiaires (non pas seulement aux plateformes en ligne) et avec de nouvelles dispositions allant dans ce sens, y compris « un marquage visible et harmonisé » lorsqu’il s’agit de contenu provenant d’influenceurs commerciaux sur YouTube, Facebook ou autres TikTok.

Plateforme essentielle et gatekeeper
• Dans le projet de rapport Andreas Schwab de 86 pages (8) sur le « marchés contestables et équitables dans le secteur numérique » (DMA), l’amendement n°37 propose de remonter le seuil de désignation d’une plateforme numérique considérée comme « contrôleurs d’accès » (gatekeeper) : de 6,5 millions à 10 millions d’euros de chiffre d’affaires annuel, ou, si l’on considère la valorisation de l’entreprise en question, de 65 milliards à 100 milliards d’euros (capitalisation boursière moyenne ou juste valeur marchande équivalente). Le rapporteur Andreas Schwab propose en outre « d’ajouter, comme condition supplémentaire à la désignation d’entreprises en tant que contrôleurs d’accès, le fait qu’elles soient des fournisseurs non pas seulement d’un, mais, au moins, de deux services de plateforme essentiels ». Quoi qu’il en soit, les « plateformes essentielles » ayant un rôle de « contrôleurs d’accès » ne doivent pas se livrer à des pratiques déloyales, en empêchant notamment d’autres entreprises de se développer sur le marché unique numérique. @

Charles de Laubier

Digital Services Act (DSA) et Digital Markets Act (DMA) : l’Europe vise une régulation équilibrée du Net

Présenté par la Commission européenne le 15 décembre 2020, le paquet législatif « DSA & DMA » – visant à réguler Internet en Europe, des réseaux sociaux aux places de marché – relève d’un exercice d’équilibriste entre régulation des écosystèmes et responsabilités. Son adoption est espérée d’ici début 2022.

Par Laura Ziegler, Sandra Tubert et Marion Moine, avocates, BCTG Avocats

La digitalisation croissante de la société et de son économie a fait naître de nouvelles problématiques sociétales et juridiques que l’arsenal législatif jusqu’alors disponible – en particulier la directive européenne « E-commerce » adoptée il y a plus de vingt ans (1) et transposée en 2004 pour ce qui concerne la France (2) – ne parvient plus à réguler efficacement. Les exemples d’actualité sont nombreux : des contenus illicites ou préjudiciables postés sur les réseaux sociaux, à l’opacité des algorithmes aux conséquences néfastes, … Bien qu’ayant pour ambition commune de réguler le monde digital, le DSA et le DMA poursuivent chacun un objectif distinct.

L’ombre de la directive « E-commerce »
Le projet de DSA. Ce règlement a vocation à remplacer les dispositions relatives à la responsabilité des prestataires de services intermédiaires contenues dans la directive « Ecommerce » (3), et à abandonner la distinction actuelle et quelque peu dépassée entre éditeur et hébergeur. Il vise à établir des règles harmonisées concernant la fourniture de « services intermédiaires », notion qui s’interprète toujours largement et englobe à la fois le transport (4) et la transmission (5) d’informations sur un réseau de communication, la fourniture d’un accès au réseau de communication, ainsi que l’hébergement de données.
En pratique, seront donc concernés : fournisseurs d’accès Internet, bureaux d’enregistrement de noms de domaine (registrars), hébergeurs « cloud » et web, marketplaces, boutiques d’applications (app stores), réseaux sociaux et autres plateformes agissant en qualité d’intermédiaires (plateforme d’économie collaborative, etc.). Plus particulièrement, le DSA aspire à établir un cadre de responsabilité pour les prestataires de services intermédiaires, et à leur imposer des diligences raisonnables qui diffèrent selon la catégorie dont ils relèvent (6) et qui sont au nombre de quatre : services intermédiaires offrant une infrastructure réseau, services d’hébergement, plateformes en ligne réunissant vendeurs et consommateurs et très grandes plateformes. Ces règles trouveront à s’appliquer aux prestataires qui fournissent des services à des destinataires (7) ayant leur lieu d’établissement ou leur résidence dans l’Union européenne (8). Le lieu d’établissement des prestataires est donc sans incidence, dès lors qu’ils présentent un « lien substantiel » avec le territoire européen (9). Evidemment, tous ces prestataires de services intermédiaires ne se verront pas appliquer les mêmes régimes.
S’agissant tout d’abord de leur responsabilité, aucun bouleversement annoncé. En effet, les projets d’articles 3 et 4 du DSA – concernant les services dits de « mere conduit » et de « caching » – reprennent quasiment à l’identique les dispositions des articles 12 et 13 de la directive « Ecommerce » de 2000 : ils ne sont pas responsables des informations qu’ils transportent et/ou transmettent dès lors qu’ils n’ont, en substance, pas une connaissance effective de l’activité ou du contenu illégal ou à défaut, dès lors qu’ils ont agi promptement pour retirer le contenu en cause.
Pas de grand changement non plus pour les hébergeurs qui bénéficieront toujours du régime de responsabilité atténuée. La seule nouveauté relative figure sous son article 5.3. : le régime de responsabilité atténuée ne sera pas applicable si un consommateur concluant un contrat à distance avec des professionnels via une plateforme en ligne est conduit à croire que l’information, le produit ou le service faisant l’objet de la transaction est fournie par cette dernière directement, ou par un destinataire du service agissant sur son autorité ou son contrôle. L’avenir nous dira si ces nouvelles dispositions conduiront les juridictions à adopter une approche plus stricte que celle de l’actuelle jurisprudence basée sur l’interprétation du « rôle actif » des intermédiaires. En revanche, le DSA n’envisage pas d’imposer aux prestataires de services intermédiaires (10) une obligation générale de surveillance (11). Ils y seront cependant encouragés puisque les enquêtes d’initiative volontaires « visant à détecter, identifier, supprimer ou désactiver l’accès à un contenu illégal, (…) » ne leur feront pas perdre le bénéfice de l’exemption de responsabilité (12).

Transparence accrue des intermédiaires
S’agissant ensuite des diligences et obligations qui seront mises à la charge de ces acteurs, certaines seront spécifiques à la catégorie à laquelle ils appartiennent, d’autres seront communes. On relèvera parmi ces dernières, la création d’un « point de contact » permettant une communication directe par voie électronique et l’intégration, dans leurs conditions générales, d’informations rédigées dans un langage clair et sans ambiguïté, sur les politiques, procédures, mesures et outils utilisés à des fins de modération du contenu, y compris sur les algorithmes utilisés pour prendre des décisions. Toujours dans un objectif de transparence accrue, les intermédiaires devront également publier des rapports annuels sur leur activité de modération de contenus. Cette exigence ne devrait pas s’appliquer aux petites et micros entreprises mais devrait être renforcée pour les plateformes en ligne et très grandes plateformes.

Statuts d’hébergeur et contenus illégaux
Concernant plus spécifiquement les services d’hébergement, ceux-ci devront mettre en place des mécanismes d’accès faciles et conviviaux permettant à toute personne de les informer de l’existence de contenus illégaux. Toute décision de suppression ou de désactivation d’un accès à des informations devra en outre faire l’objet d’une information motivée par l’intermédiaire à l’utilisateur concerné (13). Les plateformes en ligne devront en outre créer un système gratuit de traitement des réclamations par voie électronique au sujet des décisions qu’elles sont susceptibles de prendre (modération, suspension, suppression ou résiliation d’un service ou d’un compte utilisateur). Elles auront d’ailleurs, dans ce cadre, l’obligation de suspendre pendant un délai raisonnable, après avertissement, les comptes utilisateurs à partir desquels des abus seront commis (publication de contenus manifestement illicites, et notifications et/ou plaintes manifestement infondées).
Les plateformes mettant en relation commerçants et professionnels devront enfin, procéder à des vérifications élémentaires de l’identité et des coordonnées de ces derniers. Les très grandes plateformes en ligne (14) devront quant à elles procéder, au moins une fois par an, aux études et audits nécessaires pour leur permettre notamment d’identifier les risques systémiques significatifs résultant du fonctionnement et de l’utilisation de leurs services (15). Elles devront également désigner un ou plusieurs responsables de la conformité qui seront chargés de contrôler le respect du règlement DSA. A l’image des « Data Protection Officer » (DPO), ceux-ci devront notamment, faire l’objet d’une désignation officielle auprès des organismes compétents et pouvoir s’acquitter de leurs tâches de manière indépendante. Enfin, les très grandes plateformes pourront être contraintes de fournir un accès à leurs données, en particulier à des chercheurs agréés (16).
Le projet de DMA. Ce règlement-ci ne s’appliquera qu’aux « gatekeepers » ou « contrôleurs d’accès » qui fournissent à des utilisateurs, professionnels ou non, situés dans l’Union européenne (17), des services en ligne essentiels (18). Un prestataire de services essentiels sera présumé être un gatekeeper si celui-ci répond aux trois critères cumulatifs suivants : avoir un impact significatif sur le marché intérieur (en fonction de seuils de chiffre d’affaires et de la valorisation de l’entreprise) ; exploiter un service de « plateforme essentiel » qui sert de passerelle majeure pour les utilisateurs professionnels pour atteindre les consommateurs finaux ; bénéficier d’une position enracinée et durable ou être en voie de bénéficier d’une telle position dans un proche avenir. Le contrôle de l’atteinte de ces seuils quantitatifs incombera tout d’abord aux prestataires de services qui en informeront la Commission européenne. Les gatekeepers fraichement nommés disposeront d’un délai de six mois pour se conformer aux obligations du règlement. Ces désignations pourront bien sûr être reconsidérées, modifiées ou abrogées par la Commission à la lumière de l’évolution des éléments de contexte.
S’agissant de l’étendue de ses obligations, un gatekeeper ayant une position enracinée et durable se verra imposer davantage d’obligations que ceux en voie d’en bénéficier. Dans ce contexte, le règlement introduit plus de quinze obligations et interdictions, parmi lesquelles l’interdiction des pratiques visant à empêcher leurs utilisateurs professionnels de proposer leurs produits et services aux utilisateurs finaux par le biais de services concurrents tiers à des prix ou à des conditions différents (20), ou à traiter plus favorablement, dans le classement, les produits et services qui sont proposés par le contrôleur d’accès lui-même (21), ou encore l’obligation, dans certaines hypothèses, de permettre aux consommateurs de désinstaller les applications logicielles préinstallées ou de fournir aux entreprises qui font de la publicité sur leur plateforme les outils et les informations nécessaires pour effectuer leur propre vérification des annonces publicitaires hébergées par le contrôleur d’accès. Certaines dispositions concerneront par ailleurs, les traitements de données à caractère personnel en imposant des conditions supplémentaires à celles figurant dans le RGPD (22), ou en interdisant purement et simplement certaines pratiques (23). L’interopérabilité est également au coeur des préoccupations puisque le DMA imposera désormais aux contrôleurs d’accès de mettre en place de manière proactive certaines mesures, telles que des mesures ciblées permettant aux logiciels de fournisseurs tiers de fonctionner et d’interagir correctement avec leurs propres services (24). Dans cette même dynamique, les consommateurs devront pouvoir changer d’applications logicielles et de services sans restriction technique (25).

Des sanctions et des astreintes dissuasives
Pour s’assurer de l’effectivité de cette nouvelle régulation, la Commission européenne a mis en place un véritable arsenal puisque tout manquement aux obligations prévues par les DMA et DSA, pourra être sanctionné par une amende pouvant aller jusqu’à 10 % (DMA) et/ou 6% (DSA) du chiffre d’affaires total de l’intermédiaire concerné au cours de l’exercice précédent. Des astreintes pouvant aller jusqu’à 5 % du chiffre d’affaires journalier moyen à compter de sa décision pourront également être prononcées. @