Archives par mot-clé : DSA

Sites web pornographiques, interdits aux mineurs : un marché mondial opaque, difficile à estimer

Publié le par

Les sites web pornographiques sont plus que jamais dans le collimateur en Europe quant à leur obligation de contrôler l’âge de leurs millions d’utilisateurs, afin d’interdire les mineurs (moins de 18 ans en général). C’est en outre un marché mondial du « divertissement pour adulte » difficile à évaluer.

(Le 16 juin 2025, jour de la parution de cet article dans Edition Multimédi@, le tribunal administratif de Paris a ordonné la suspension de l’arrêté du 26 février 2025)

« L’Arcom tient à rappeler sa détermination, partagée par les institutions européennes, à protéger les mineurs en ligne », a fait de nouveau savoir le régulateur français de l’audiovisuel le 3 juin, alors qu’un arrêté prévoit que l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) peut – à partir du 7 juin 2025 – mette en demeure un éditeur pour que son service en ligne « pour adulte », ou sa plateforme de partage de vidéos aux contenus pornographiques, ne soit pas accessibles aux mineurs.

Haro européen sur les sites porno
Cet arrêté ministériel paru le 6 mars 2025 au Journal Officiel – cosigné par la ministre de la Culture Rachida Dati et la ministre déléguée au Numérique Clara Chappaz – a été pris pour que les nouveaux pouvoirs de l’Arcom, présidée par Martin Ajdari (photo), s’appliquent à une liste de dix-sept sites pornographiques annexée à l’arrêté, dans un délai de trois mois après sa publication. A savoir, à partir du 7 juin 2025. Ces sites-là sont tous basés hors de France mais, raison d’être de cet arrêté, « dans un autre Etat membre de l’Union européenne » (1) : Pornhub, Youporn, Redtube, xHamster, XHamsterLive Tnaflix, Heureporno, XVideos Xnxx, SunPorno, Tukif, Reference-sexe, Jacquie et Michel, iXXX, Cam4, Tukif.love et LiveJasmin.
Si un site pornographique ne se conforme pas à une mise en demeure prononcée par l’Arcom, celle-ci peut le sanctionner d’une amende pouvant aller jusqu’à 150.000 euros ou 2 % du chiffre d’affaires mondial (le plus élevé des deux montants étant retenu). « Ce maximum est porté à 300 000 euros ou à 4 % du chiffre d’affaires mondial hors taxes, le plus élevé des deux montants étant retenu, en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première sanction est devenue définitive », prévient en outre la loi de 2004 « pour la confiance dans l’économie numérique », dite LCEN (2). L’Arcom est déjà intervenue auprès de six sites porno situés, eux, en France ou en-dehors de Union européenne (UE). « Cinq d’entre eux ont, en responsabilité, fait le choix de mettre en place une solution de vérification de l’âge. Le dernier, n’ayant pas rendu disponibles l’identité de son fournisseur, ni son adresse, en violation de la loi, a été bloqué et déréférencé des principaux moteurs de recherche », a indiqué le régulateur français. Concernant les sites listés dans l’arrêté du 6 mars, il a précisé que (suite) le groupe Aylo (ex-MindGeek) – basé à Chypre et propriétaire de PornHub, RedTube et YouPorn – « a fait le choix de se soustraire à l’impératif que constitue la protection des mineurs en suspendant l’accès à ses contenus en France y compris pour un public majeur ». D’après l’Arcom, Pornhub est le site le plus populaire du groupe chypriote Aylo (luimême détenu par le fonds d’investissement canadien Ethical Capital Partners), et il est visité chaque mois par plus d’un tiers des adolescents de 12 à 17 ans. Et selon une étude de l’Arcom publiée il y a deux ans sur « la fréquentation des sites “adultes” par les mineurs » (3), Médiamétrie a recensé en France 14.111 sites à caractère pornographique en 2022, dont « 179 sites disposant d’une audience significative », avec au total 2,3 millions de visiteurs mineurs par mois. Pour toutes les plateformes porno concernées, toute la difficulté est de pouvoir contrôler l’âge (4) sans porter atteinte à la vie privée (5).
De son côté, la Commission européenne a ouvert le 27 mai 2025 quatre enquêtes sur respectivement PornHub (édité par Aylo), Stripchat (par la société chypriote Technius), Xnxx (par le tchèque NKL Associates) et XVideos (par WebGroup Czech Republic). Elle leur reproche « l’absence de mesures efficaces pour vérifier l’âge des utilisateurs » au regard de leur obligation liée au DSA (6) de « garantir un environnement en ligne plus sûr pour les mineurs » (7) D’autant que ces quatre sites porno ont tous été désignés par la Commission européenne comme « très grandes plateformes », dès décembre 2023 pour Pornhub, XVideos et Stripchat (8), ce dernier venant cependant d’être retiré de la liste, et en juillet 2024 pour Xnxx (9). Quant aux plus petits sites porno, ils sont, eux, sous la surveillance du Comité européen des services numériques (10), créé par le DSA, où siège notamment l’Arcom pour la France (11), sous la houlette de la Commission européenne.

Un marché mondial « multi-milliardaire »
L’industrie du sexe représente un marché mondial estimé à plus de 50 milliards de dollars, voire à 300 milliards de dollars si l’on inclut les sextoys et les services associés. Selon les études, parfois contradictoires tant l’opacité règne en maître, les sites porno en ligne représenteraient entre 12 % et 35 % de ce marché global. Si l’on s’en tient à la pornographie en ligne, une étude ResearchAndMarkets (12) table sur un chiffre d’affaires de 118 milliards de dollars d’ici 2030, contre 76 milliards en 2024. @

Charles de Laubier

Pinterest, le moteur de découverte visuelle devenu rentable, se fait moins discret avec l’IA

Publié le par

Créé il y a 15 ans, le petit réseautage de photos et d’images Pinterest fait des envieux : il a atteint les 570 millions d’utilisateurs actifs mensuels, en hausse de 10 % sur un an. Devenue très rentable en 2024, la plus discrète des « très grandes plateformes » mise sur l’IA pour mieux « monétiser ».

Pinterest affiche une santé insolente et une audience presque digne d’un Gafam : au mois de mai, la plateforme d’images et de photos à découvrir a atteint un record de fréquentation, avec 570 millions d’utilisateurs actifs mensuels. Cela correspond à une hausse de 10 % sur un an – et même 23 % sur deux. La monétisation de cette audience, mesurée selon l’indicateur ARPU (1) très surveillé par le PDG Bill Ready (photo) et consolidé par trimestre, a été de 1,52 dollars au premier trimestre 2025, en hausse de 5 % sur un an). Il peut dépasser les 2 dollars comme au dernier trimestre 2024 (à 2,12 dollars précisément).

Toujours imité, jamais égalé, même par Google
Les revenus pris en compte pour le calcul de l’ARPU proviennent principalement des activités en ligne des utilisateurs (génératrices de recettes), telles que les interactions avec des publicités ou des contenus sponsorisés – sur la base du coût par clic (CPC), du coût par mille impressions (CPM), du coût par jour (CPJ) ou, pour les vidéos, du coût par vue (CPV). Et 15 ans après sa création, la rentabilité est au rendez-vous : l’an dernier, Pinterest est devenu pour la première fois rentable en affichant son premier bénéfice net, à 1,86 milliard de dollars, pour un chiffre d’affaires de 3,64 milliards de dollars, en hausse de 19 %. Cotée en Bourse depuis avril 2019, l’ex-licorne (2) basée à San Francisco (California) a une capitalisation (3) de 21 milliards de dollars (au 30-05-25). La montée en puissance de Pinterest a toujours inquiété (suite) Facebook, dont la maison mère Meta Platforms tente de donner la réplique avec Instagram, son réseau social de partage de photos et de vidéo – racheté en 2012 pour 1 milliard de dollars, soit deux ans après le lancement de Pinterest. Facebook a même lancé en 2017 la fonction « Collections », façon Pinterest.
De nombreux autres – Fancy, We Heart It, Juxtapost, Wanelo, Svpply, Etsy, Lemon8 ou encore lancés récemment Cosmos (2023) et MyMind (2024) – ont tenté d’imiter le pionnier de l’épingle – « to pin », en anglais – permettant de constituer des tableaux virtuels d’images et de photos en fonction de ses centres d’intérêt (décoration, voyages, mode, cuisine, …). Amazon avait aussi lancé en 2013 la fonctionnalité « Collections », mais l’a rapidement abandonnée. En revanche, Google essaie depuis une dizaine d’année de concurrencer Pinterest. Cela a commencé par « Google+ Collections » lancé en 2015, toujours pour permettre aux utilisateurs de créer des collections d’images thématiques et de les partager, mais fermé en avril 2019 faute d’engagement du public notamment. De même, la fonction « Save » sur Google Images a été discrètement supprimée. Mais la filiale d’Alphabet a persévéré : en juin 2020, l’application Google Keen – créée par incubateur Area 120 de Google (4) – est lancée comme une plateforme sociale « expérimentale » inspirée de Pinterest et automatisée par l’IA pour les recommandations. Près de quatre ans après, rideau ! La plateforme Staykeen.com est fermée, avec ce message de fin : « Jusqu’à la prochaine fois » (5)…
Le géant mondial des moteurs de recherche… chercherait toujours la killer-application de Pinterest, si l’on en croyait le site The Information, lequel s’attendait le 12 mai (6) à ce que la conférence Google I/O en mai 2025 soit l’occasion pour Google de lancer un nouveau service de sauvegarde et de regroupement d’images en albums ou dossiers. Mais le PDG de la firme de Mountain View, Sundar Pichai, n’a finalement pas annoncé son nouveau « Pinterest ». Le réseau social aux tableaux épinglés, que PayPal avait songé acquérir pour 45 milliards de dollars, d’après Bloomberg (7) en octobre en 2021, a fait un pied-de-nez à Google en juin 2022 en débauchant son « président du commerce, des paiements et du prochain milliard d’utilisateurs » (8), Bill Ready (de son vrai prénom William), pour être PDG (9). Pinterest a depuis renforcé sa monétisation grâce au e-commerce. « Notre modèle d’IA multimodale propriétaire est 30 % plus susceptible de repérer et de recommander du contenu pertinent. […] notre Taste Graph a augmenté de 75 % au cours des deux dernières années », a indiqué ce dernier lors d’une conférence téléphonique le 8 mai dernier.

Europe : obligations vis-à-vis du DSA
Pas facile de rattraper en pleine accélération « IA » le moteur de découverte visuelle créé par Paul Sciarra et Ben Silbermann (ex-PDG, depuis président exécutif), devenu « très grande plateforme » aux yeux de la Commission européenne depuis qu’elle l’a désigné comme tel le 25 avril 2023 au regard du Digital Services Act (DSA) – au même titre que les Gafam et d’autres comme TikTok, Snapchat ou encore l’ex-Twitter (10). En Europe, Pinterest revendique au 31 mars 2025 pas moins de 148 millions d’utilisateurs actifs mensuels, soit 26 % des 570 millions dans le monde. Mais la plateforme n’en a déclaré le 11 avril (11) que 81,1 millions dans l’UE. @

Charles de Laubier

Interdire les réseaux sociaux aux moins de 15 ans : la fausse bonne idée difficile à mettre en œuvre

Publié le par

La ministre déléguée au Numérique, Clara Chappaz, se donne jusqu’en août pour rallier plusieurs pays européens afin de « convaincre la Commission européenne » d’interdire – comme l’envisage la Norvège – l’accès des moins de 15 ans aux réseaux sociaux. Mais il y a moins radical.

Faudrait-il vraiment interdire les réseaux sociaux aux moins de 15 ans ? La question fait l’objet d’un débat au niveau européen, depuis que la Norvège a proposé en octobre 2024 cette idée par la voix de son ancienne ministre de l’Enfance et de la Famille, Kjersti Toppe, à laquelle Lene Vågslid (photo) a succédé en février 2025. Lors de sa nomination, cette dernière a expliqué qu’elle reprenait à son compte cette idée : « Comme de nombreux parents, je suis également préoccupée par la sécurité numérique de nos enfants et j’ai hâte de continuer à travailler sur ce sujet et pour une limite d’âge de 15 ans sur les médias sociaux » (1).

La Norvège, pionnière de la réflexion
Si la Norvège n’a pas fait aboutir en plus de six mois son idée de relever l’âge minimum pour l’utilisation des réseaux sociaux, de 13 ans (théoriquement en vigueur) à 15 ans, c’est que plusieurs obstacles se présentent. Le Premier ministre norvégien lui-même, Jonas Gahr Støre, avait reconnu que la mise en œuvre d’une telle interdiction serait un « combat difficile », en raison de la puissance des Big Tech et de la difficulté à faire respecter les restrictions d’âge. Le gouvernement norvégien envisageait d’utiliser le système d’identification numérique BankID – développé par un consortium de banques du pays – pour vérifier l’âge. Mais cette solution pose problème, car tous les adolescents de 15 ans ne disposent pas d’un compte bancaire ou d’une carte d’identité nationale, rendant cette application universelle difficile.
Autre défi : trouver un consensus politique et parlementaire autour de cette mesure qui nécessite préalablement une analyse approfondie, une consultation publique et un vote législatif, ce qui prolonge le délai de mise en œuvre. En novembre 2024, le gouvernement norvégien a reçu du « comité sur l’utilisation des écrans » (2) un rapport intitulé « La (in)life numérique. Une éducation équilibrée à l’ère des écrans » (3). Ce comité estime (suite) qu’« il ne devrait pas y avoir de limite d’âge imposée par les autorités pour l’ensemble des réseaux sociaux » et recommande au gouvernement d’adopter « une approche plus équilibrée et nuancée » (4). Le président de ce comité, Robert Steen, a conclu : « Nous pensons que la solution n’est pas de déconnecter les enfants, mais de connecter les adultes [qui doivent aider les enfants à trouver une vie équilibrée entre l’utilisation des écrans, des livres et de l’activité physique] » (5). Le comité norvégien recommande plutôt que les enfants soient « protégés contre les contenus préjudiciables » et que les services utilisés par les enfants soient « plus sûrs et mieux adaptés à leur âge ». S’il n’impose pas de limite d’âge, le comité estime que « l’utilisation des écrans par les enfants de moins de deux ans devrait être sévèrement limitée ».
Ce rapport a été soumis à consultation et doit servir à la publication « au printemps 2025 », par le gouvernement norvégien, d’un « livre blanc sur une éducation numérique sécurisée » qui abordera la question de l’introduction d’une limite d’âge nécessitant une modification législative. Interpelé le 20 janvier 2025 par le Parlement norvégien, le gouvernement de ce pays avait répondu non pas par une interdiction directe des moins de 15 ans d’accéder aux réseaux sociaux mais plutôt par une mesure de consentement parental : « Le gouvernement a déjà annoncé qu’il proposerait au Parlement de relever l’âge minimum de 13 à 15 ans dans la loi sur les données personnelles. Cela signifie relever l’âge à partir duquel un enfant peut consentir au traitement de ses données personnelles par des services de la société de l’information, tels que les réseaux sociaux. Les parents conserveront la possibilité de consentir au nom de leurs enfants. Ce travail législatif est mené par le ministère de la Justice et de la Sécurité publique » (6). Ce serait une façon indirecte de restreindre l’accès des enfants de moins de 15 ans aux plateformes de réseaux sociaux. Néanmoins, le livre blanc abordera l’introduction d’une limite d’âge et le moyen législatif d’y parvenir. Ainsi, en Norvège comme ailleurs, beaucoup s’interrogent sur l’efficacité d’une interdiction stricte.

Règle des moins de 13 ans non appliquée
Des approches alternatives existent, telles que l’éducation numérique et le renforcement du rôle des parents qui pourraient être bien plus efficaces pour protéger les enfants en ligne. Surtout que, malgré une interdiction actuelle pour les moins de 13 ans, 58 % des enfants de 10 ans et 72 % des enfants de 11 ans utilisaient déjà les réseaux sociaux, d’après une étude de l’Autorité norvégienne des médias en 2022. Une autre étude plus récente, publiée le 8 avril 2025 par l’Office national de la statistique de la Norvège, confirme que 39 % des enfants entre 9 et 12 ans utilisent les réseaux sociaux chaque jour en 2024 et que 96 % des jeunes entre 13 et 19 ans sont quotidiennement sur les réseaux sociaux tels que Snapchat, TikTok, Instagram et dans une moindre mesure Facebook. Ils s’informent quotidiennement sur l’actualité : 35 % des 9–15 ans consultent les actualités chaque jour via les réseaux sociaux, lorsque 50 % des 9–15 ans ne suivent aucune actualité et ne cherchent que le divertissement.

Référendum pour interdire les moins de 15 ans ?
Ce « Baromètre des médias norvégiens 2024 » (7) confirme une tendance à la hausse de l’usage des réseaux sociaux chez les moins de 13 ans, malgré la limite d’âge formelle à 13 ans. La France, à l’instar des autres pays de l’Union européenne, n’échappe pas à cet engouement en ligne de la très jeune génération. Interdire à tous les moins de 15 ans d’accéder aux TikTok, Instagram et autres Snapchat ne sera pas moins compliqué qu’en Norvège, même si le président de la République française Emmanuel Macron met tout son poids dans la balance – comme il l’a fait le 13 mai dernier sur TF1 : « Il faut protéger nos enfants et donc je suis pour ma part favorable [à l’interdiction des réseaux sociaux au moins de 15 ans] – et je pense qu’il faut y aller – à ce que nos enfants, nos adolescents soient protégés, […] et donc qu’on impose une vérification de l’âge dans les réseaux sociaux. […] Qu’en dessous de 15 ans, on n’ait pas accès », a-t-il déclaré (8). Le chef de l’Etat français a même évoqué la possibilité de lancer un référendum sur cette question, mais en précisant que « c’est une compétence qui est à l’Europe, donc il faudrait que derrière, on engage en parallèle un combat européen ».
A l’origine du Digital Services Act (DSA), le règlement européen sur les services numériques qui impose aux plateformes de modérer les contenus en ligne et de lutter contre la diffusion de contenus illicites ou préjudiciables, la Commission européenne aura le dernier mot quant à la limitation de l’âge. A moins qu’elle ne décide pas d’harmoniser mais de laisser faire chacun des Vingt-sept dans une certaine mesure, comme pour la majorité numérique pouvant aller de 13 à 16 ans (9). Deux jours avant l’intervention télévisée du locataire de l’Elysée, Clara Chappaz (photo ci-dessus), ministre déléguée chargée de l’intelligence artificielle et du numérique, a expliqué comment elle comptait s’y prendre au niveau européen : « A l’échelle européenne, nous avons effectivement un cadre d’action de référence : le [DSA]. Mais il faut aller plus loin pour renforcer sa portée, afin qu’il contraigne les réseaux sociaux à ne pas accepter la création de comptes sans vérification d’âge. Mon travail est aujourd’hui de rallier une coalition, avec l’Espagne, la Grèce et maintenant Irlande, pour convaincre la Commission européenne », a-t-elle indiqué dans La Tribune Dimanche. Et de préciser son calendrier pour pousser l’interdiction des moins de 15 ans jusqu’à Bruxelles : « Je me donne trois mois pour mobiliser nos partenaires européens autour d’une ligne simple : la vérification d’âge comme impératif. Et si nous n’arrivons pas à aboutir d’ici à la rentrée, la France prendra ses responsabilités A défaut d’accord européen, c’est en France qu’il faudra agir ».
Pour autant, même si la France devait légiférer de son côté, elle devra cependant notifier cette mesure à la Commission européenne. Dans son interview intitulée « Les réseaux sociaux avant 15 ans, c’est non » et publiée le 11 mai (10), Clara Chappaz s’inscrit en faux contre les plateformes qui avancent la difficulté de savoir quel âge a un utilisateur : « Cette affirmation est devenue leur excuse préférée. Elle est fausse. […] Elles sont capables de pousser un contenu ciblé à un enfant de 11 ans mais elles ne sauraient pas vérifier s’il a 13 ou 15 ans ? Cette hypocrisie va cesser ». A la question « N’est-ce pas toutefois une position moralisatrice de l’Etat ? », elle rétorque : « Je ne viens pas avec une règle pour interdire, mais pour protéger. C’est très différent. Ce débat n’est pas une affaire de morale, mais une affaire de santé, d’éducation, de responsabilité collective. D’ailleurs 75 % des Français se disent favorables à l’instauration d’une interdiction liée à l’âge. Cette interdiction va de pair avec un accompagnement. J’y veillerai ». Les plateformes numériques, elles, ne voient pas d’un bon œil une telle contrainte supplémentaire, alors qu’elles ont déjà du mal à faire respecter la limitation – théorique et non contraignante – des 13 ans sur les réseaux sociaux.

Meta Platforms renvoie la balle aux App Stores
En guise de lobbying publicitaire, trois pages avant l’interview de la ministre française dans La Tribune Dimanche, Meta Platforms s’est offert une pleine page (publiée sur plusieurs numéros hebdomadaires) : « Instagram demande une réglementation européenne exigeant la vérification de l’âge et un accord parental sur l’App Store. […] Offrir aux parents un meilleur contrôle sur ces téléchargements, directement là où se fait le téléchargement, peut contribuer à renforcer la sécurité des ados en ligne » (11). Selon la firme de Mark Zuckerberg, ce serait donc aux Play Store (Google), App Store (Apple) et autres AppGallery (Huawei) de faire barrage aux plus jeunes. @

Charles de Laubier

AI Act, DSA, MiCA, … Superposition réglementaire : le casse-tête européen pour les projets innovants

Publié le par

L’ambition européenne pour un « marché unique numérique » a généré un véritable labyrinthe de textes réglementaires que nul n’est censé ignorer, pas même les start-up et les fintech, sauf à devenir hors-la-loi. Mais à ce patchwork s’ajoute le manque de coordination entre autorités compétentes.

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’Union européenne a une ambition manifeste : réguler de manière exemplaire la transition numérique. Du règlement sur l’intelligence artificielle (AI Act) aux directives concernant les services numériques (DSA/DMA), en passant par la régulation des actifs numériques (MiCA) et la résilience opérationnelle du secteur financier (DORA), le législateur européen ne cesse d’introduire des normes structurantes. Chacun de ces textes, pris séparément, a pour objectif de pallier une carence. Ensemble, ils constituent un écosystème réglementaire complexe, parfois dépourvu de cohérence, souvent difficile à appliquer.

Accumulation de textes sans réelle coordination
Pour les initiatives novatrices, en particulier les start-up et les fintech, cette accumulation de normes peut rapidement devenir complexe. Cela est d’autant plus vrai que les normes et directives techniques ne cessent de croître, changeant constamment le champ de la conformité sans perspective de stabilité à moyen terme ni durabilité juridique. Actuellement, le cadre réglementaire en Europe se fonde sur plusieurs éléments-clés. L’AI Act (1) met en place une catégorisation des systèmes d’intelligence artificielle basée sur leur niveau de risque, imposant des exigences rigoureuses aux systèmes considérés comme étant « à haut risque ». Le DSA (2) et le DMA (3) ont pour objectif de réguler les grandes plateformes numériques tout en offrant une protection accrue aux utilisateurs. MiCA (4) régule la création de jetons et l’offre de services liés aux crypto-actifs. DORA (5) impose des normes rigoureuses de cybersécurité dans le domaine financier. De nombreux intervenants de l’écosystème sont également soumis aux règles (suite) anti-blanchiment. On peut également trouver d’autres documents transversaux, sectoriels ou techniques. Cela constitue un millefeuille réglementaire complexe où les obligations s’accumulent sans véritable coordination, engendrant des superpositions et parfois même des contradictions. Chaque texte s’appuie sur ses propres définitions, logiques, et fait appel à diverses autorités de supervision, sans qu’il y ait une articulation claire entre elles. Une start-up œuvrant dans divers secteurs tels que les actifs numériques et l’intelligence artificielle se voit donc confrontée à des chronologies disparates, des seuils de déclenchement discordants et des demandes de documentation non-uniformes. Ce fractionnement rend les procédures de conformité beaucoup plus lourdes et entrave l’aptitude à innover dans un environnement juridique stable.
Les stablecoins sous MiCA, règlement européen sur les marchés de cryptoactifs, et PSD2, directive européenne sur les services de paiement (6), constituent un cas emblématique. Les jetons de monnaie électronique en eux-mêmes (ou EMT, pour Electronic Money Token, ou E-Money Token), appelés aussi « stablecoins monodevise » (adossés à une monnaie officielle comme l’euro), démontrent les conséquences néfastes que peut engendrer une superposition de la réglementation. Selon MiCA, ces tokens sont considérés comme de la monnaie électronique. Cependant, les transactions de transfert associées peuvent aussi être soumises à la directive PSD2, avec toutes les obligations qui en découlent. Ainsi, un même acteur est soumis à une double contrainte réglementaire : il doit se procurer à la fois une licence en tant que fournisseur de services sur actifs numériques (CASP (7), ou PSCA (8) en français) conformément au règlement MiCA, et une autorisation pour l’établissement de paiement selon PSD2. Ces deux régimes nécessitent des procédures d’approbation différentes, possèdent des critères de capital propre superflus, imposent des responsabilités divergentes et soulèvent des questions concernant la classification juridique de certaines actions, telles que les transferts internes à un utilisateur ou les mouvements vers des portefeuilles autogérés. Malgré les mises en garde des syndicats professionnels, la réaction de certaines autorités de régulation en Europe demeure pour l’instant insuffisante, bien que nos autorités françaises fassent un travail remarquable sur le sujet.

DORA, une usine à conformité pour la finance
Si aucune action n’est entreprise, de nombreux intervenants pourraient abandonner les services de transfert d’EMT, ce qui va à l’encontre des objectifs de MiCA, lequel vise précisément à promouvoir l’adoption de ces actifs numériques. Concernant cette fois le règlement sur la résilience opérationnelle numérique, également connu sous le nom de DORA, il est entré en vigueur à partir de janvier 2025. Il impose aux institutions financières un cadre global de gestion des risques associés aux technologies de l’information. Cela englobe l’élaboration d’un plan de gestion du risque « TIC » (9), l’alerte en cas d’incidents majeurs, la conduite de tests de résilience numérique, ainsi que la nécessité de maintenir un registre précis des contrats avec les fournisseurs de services informatiques tiers. Bien que ces initiatives visent à renforcer la sécurité systémique, leur application s’avère très complexe pour les petites entités. De nombreuses start-up et fintech manquent des ressources et des compétences internes nécessaires pour répondre à ces exigences. La notion de proportionnalité stipulée dans le règlement est fréquemment comprise de façon restrictive et demeure floue quant à ses modalités d’application pratiques.

AI Act : flous techniques, complexité procédurale
La réglementation sur l’intelligence artificielle ajoute une couche additionnelle. L’AI Act impose des exigences strictes aux systèmes classés comme « à haut risque » : documentation technique, supervision humaine, qualité des données, transparence et inscription obligatoire dans une base de données européenne. Il est possible que les sanctions aillent jusqu’à 7 % du chiffre d’affaires à l’échelle mondiale. L’instauration de « bacs à sable réglementaires » est bien prévue, mais leur réalisation prend du temps. Entretemps, les initiatives doivent naviguer entre les réglementations existantes dans leur domaine respectif (santé, automobile, services publics, …) et les exigences récentes imposées par la réglementation sur l’IA, sans aucune coordination entre les autorités compétentes. La définition même de ces systèmes pose problème : IA intégrée, IA générative, open source, … aucune de ces classifications n’est précisément définie, ce qui rend les stratégies de conformité floues. Le dilemme du guichet unique demeure aussi sans solution : une entreprise concevant une IA employée dans divers contextes doit composer avec autant d’autorités qu’il y a de domaines d’application.
Quant aux DSA et DMA, s’ils ciblent prioritairement les grandes plateformes, ces règlements affectent également les plus petits acteurs par ricochet sur l’ensemble de l’écosystème. Une start-up qui propose une solution technique à un acteur qualifié de « gatekeeper » (contrôleur d’accès), se retrouve indirectement soumise à des exigences de conformité étendues : traçabilité, documentation, obligations de transparence, et compatibilité renforcée au RGPD, le règlement général sur la protection des données (10).
Ces obligations s’appliquent même lorsque la start-up ne traite pas directement de données personnelles ou de contenus modérés, mais fournit simplement un service technique – API (Application Programming Interface), infrastructure, algorithmes de recommandation – utilisé en aval par une plateforme réglementée. L’effet est immédiat : elle doit produire des audits, garantir l’interopérabilité, prouver l’absence de pratiques déloyales, et documenter ses choix techniques, parfois en plusieurs langues, à destination des autorités nationales de différents Etats membres. Sans pouvoir de négociation, et sans accès aux ressources de conformité des grands groupes, ces petites structures se retrouvent piégées dans une logique de compliance excessive. Ce n’est plus l’activité elle-même qui génère du risque, mais la simple appartenance à une chaîne de valeur numérique réglementée. Cette situation crée une inégalité de traitement qui freine l’innovation, décourage la prise de risque, et oriente les jeunes pousses vers des marchés plus permissifs. Les investisseurs, eux aussi, deviennent frileux à l’idée d’accompagner des projets exposés à une telle incertitude juridique. Quant aux avocats et aux directions juridiques internes, ils doivent souvent interpréter à l’aveugle des règlements conçus pour des géants du numérique, mais appliqués sans nuance à des entités de dix salariés.
L’approche globale attendue pour tous ces documents devait être celle de la cohérence, de la confiance et de l’indépendance numérique. Toutefois, l’accumulation non-synchronisée de ces réglementations conduit à une situation contradictoire : des normes conçues pour sécuriser les initiatives numériques génèrent l’effet opposé.
La disparité des parties prenantes, les interprétations différentes, les retards d’approbation inconsistants et l’absence de moyens de simplification pour les petites entités rendent le paysage réglementaire de l’Union européenne ardu à déchiffrer. On constate également une instabilité des lignes directrices, qui changent parfois sans consultation préalable ni soutien. Les responsables de la régulation ont également du mal à répondre aux demandes, ce qui prolonge l’incertitude pour les intervenants. Cette complexité induit une réticence à l’innovation, un transfert des projets vers des juridictions plus laxistes, et une constante incertitude juridique. L’Europe dispose à la fois d’expertise et de vision. Cependant, elle a du mal à concilier ses aspirations avec les conditions réelles sur le terrain. Il est crucial de réévaluer la régulation en se basant sur des principes opérationnels : établissement de guichets sectoriels unifiés, standardisation des délais d’autorisation, définition claire des situations de double régulation, application effective du principe de proportionnalité, avancée rapide des mécanismes de bac à sable.

Europe : repenser l’architecture de la régulation
Cela nécessite également d’intensifier la communication entre les instances nationales et européennes, de fournir des modèles de conformité aisément modifiables, et d’établir une direction stratégique de la transition réglementaire par secteur. Les intervenants économiques requièrent de la clarté, de la constance et la possibilité de prévoir. Sans ce remodelage méthodologique, les projets les plus prometteurs risquent de ne plus voir le jour en Europe. Et la régulation, supposée fournir un atout stratégique, se transformera en obstacle persistant à la compétitivité du Continent. Sans parler de la souveraineté numérique européenne qui, face à tant de complexités juridiques, risque de rester un vœu pieu. @

« Nintendo c/ DStorage » : la Cour de cassation appelle les hébergeurs à leurs responsabilités

Publié le par

La décision rendue le 26 février 2025 par la Cour de cassation – dans l’affaire opposant Nintendo à DStorage – marque la fin d’une saga judiciaire, qui permet de confirmer les contours du régime de responsabilité des hébergeurs, dans le contexte de l’entrée en vigueur du Digital Services Act (DSA).

Par Olivia Roche et Eva Naudon, avocates associées, Phaos Avocats

Le 26 février dernier, la Cour de cassation a rendu une décision dans le cadre de l’affaire « Nintendo c/ DStorage », mettant en lumière le renforcement des obligations pesant sur les hébergeurs de contenus en ligne. Cet arrêt (1) intervient dans le contexte plus global de l’évolution récente de la législation française et européenne visant à mieux encadrer le rôle des plateformes en ligne dans la lutte contre la diffusion des contenus portant atteinte aux droits d’auteur et aux droits voisins.

Hébergement de copies illicites de jeux vidéo
La société DStorage fournit, depuis 2009, des services d’hébergement et de stockage de données en ligne, notamment à travers le site Internet 1fichier.com, qui est ouvert au public. En 2018, différentes entités du groupe Nintendo ont constaté que des copies illicites de leurs jeux vidéo-phares, tels que « Super Mario Maker » ou « Pokémon Sun », étaient hébergées sur les serveurs de DStorage et mis à disposition du public notamment via ce site web. Les sociétés Nintendo – la maison mère japonaise Nintendo Co Ltd, la société The Pokemon Company, Creatures et Game Freak – ont ainsi entrepris de notifier à la société française DStorage l’existence de ces copies, ainsi que la reproduction servile de différentes de leurs marques. Et cette notification fut faite conformément au formalisme imposé par la loi « Confiance dans l’économie numérique » (LCEN) du 21 juin 2004 (2), dans sa version antérieure à la transposition du Digital Services Act (DSA) de 2022 (3).
En réponse, la société DStorage a invité les sociétés Nintendo à utiliser son outil de retrait dénommé « Takedown tool » ou bien à saisir un juge afin d’obtenir une ordonnance constatant le caractère manifestement illicite des contenus notifiés. Dans un second temps, la société DStorage a également indiqué aux sociétés Nintendo que les contenus violant des droits de propriété intellectuelle n’entreraient pas dans le périmètre des contenus manifestement illicites au sens de la LCEN. Face à l’inaction de la société DStorage, les sociétés Nintendo (suite)
ont engagé une action en responsabilité afin d’obtenir le retrait des contenus. Par un arrêt du 12 avril 2023, la cour d’appel de Paris a fait droit aux demandes des sociétés Nintendo. En n’agissant pas promptement pour retirer ces données, la société DStorage a engagé sa responsabilité en qualité d’hébergeur de contenus. Alors que Nintendo avait valablement suivi la procédure de notification. La cour d’appel a ordonné à la société DStorage de supprimer les contenus litigieux sous astreinte de 1.000 euros par jour, l’astreinte courant sur six mois, et de publier la décision sur son site Internet. Enfin, elle a condamné DStorage à payer à la société Nintendo la somme de 442.750 euros en réparation de son préjudice commercial.
La société DStorage s’est pourvue en cassation en invoquant l’absence de preuve du caractère manifestement illicite des contenus litigieux et que l’injonction de retrait faite par la cour d’appel de Paris reviendrait à imposer une obligation générale de surveillance.
Dans cette affaire, la question tranchée par les juridictions successivement saisies consistait ainsi à déterminer si la société DStorage avait rempli les conditions d’exonération de sa responsabilité, à savoir : la connaissance des contenus illicites résultant de la notification opérée par les sociétés Nintendo, et la diligence dans le retrait des contenus notifiés (4). La LCEN, transposant en droit français la directive européenne « E-commerce » de 2000, prévoit que la responsabilité des hébergeurs de contenus en ligne peut être engagée dès lors qu’ils ont eu connaissance de manière effective de l’existence de contenus manifestement illicites « ou de faits et circonstances faisant apparaître ce caractère », et qu’ils n’ont pas agi promptement pour les retirer ou rendre leur accès impossible (5).

Notification de contenus illicites : formalisme
La LCEN – dans sa version applicable aux faits, soit avant la modification résultant de l’entrée en vigueur du DSA – disposait par ailleurs que « la connaissance des faits litigieux est présumée acquise lorsque la notification est faite conformément à certaines exigences, impliquant notamment une description des faits litigieux et leur localisation précise » (6). Concrètement, le prestataire doit recevoir des éléments permettant à un « opérateur économique diligent » de constater aisément et sans examen juridique approfondi l’existence du caractère manifestement illicite des contenus litigieux. La société DStorage reprochait notamment à la notification effectuée par les sociétés Nintendo de ne pas prouver la titularité des droits d’auteur sur les jeux, ainsi que le caractère contrefaisant des copies diffusées via le site « 1fichier.com », ainsi que de ne pas avoir utilisé leur outil « Takedown tool ». La cour d’appel a confirmé d’une part que les sociétés Nintendo pouvaient se prévaloir des présomptions légales, tant pour la titularité de leurs droits que pour l’originalité des jeux vidéo, en particulier au regard de leur renommée mondiale. Elle rappelle que ces exigences ne sont pas requises par la LCEN, sur la base de laquelle elles engageaient la responsabilité délictuelle de la société DStorage, contrairement à une action en contrefaçon imposant en effet ces démonstrations.

Le DSA n’était pas applicable en 2018
La société DStorage invoquait également le fait que le DSA prévoit que les hébergeurs doivent désormais fournir des outils de notification des contenus illicites, tels que « Takedown tool », permettant d’alléger les obligations mises à la charge des hébergeurs. Néanmoins, comme le rappelle la cour d’appel, ces dispositions n’étaient pas applicables en 2018 et n’étaient donc pas de nature à exonérer la société DStorage de sa responsabilité en raison du non-retrait des contenus litigieux qui lui avaient été notifiés selon les exigences de la LCEN, dans sa version alors applicable. La plus haute juridiction française a rejeté le pourvoi de DStorage et confirmé qu’en l’absence de contestation sur ces points, les demandeurs n’avaient pas à démontrer l’originalité ni la titularité des droits des jeux en cause. Par ailleurs, elle a retenu que les notifications effectuées par les sociétés Nintendo étaient suffisantes au regard des exigences de la LCEN pour permettre d’établir le caractère manifestement illicite des contenus et donc imposer leur prompt retrait par la société DStorage, compte tenu notamment de l’identification précise des contenus et de leur localisation.
La société DStorage considérait que l’injonction de la cour d’appel de retirer les contenus litigieux revenait à lui imposer une obligation générale de surveillance, laquelle est pourtant prohibée par la LCEN (7), et désormais du DSA (8). Néanmoins, la Cour de cassation a également rejeté le pourvoir sur ce fondement. Dans son arrêt, elle rappelle en effet que si les hébergeurs ne sont pas soumis à une obligation générale de surveillance des contenus qu’ils stockent ou transmettent, ni à une obligation générale de rechercher des faits ou circonstances révélant des activités illicites, ils peuvent se voir imposer une activité de surveillance ciblée et temporaire. La mesure ordonnée par la cour d’appel visant des contenus précis et étant limitée à une durée temporaire de six mois, la plus haute juridiction a considéré que le cadre légal de la LCEN et du régime de responsabilité limitée des hébergeurs était respecté. Cette décision s’inscrit dans la continuité de la décision de la chambre commerciale de la Cour de cassation qui, dans une décision de mars 2024, avait rappelé qu’un hébergeur n’est pas susceptible d’être condamné à déployer un dispositif permettant de bloquer l’accès à des contenus illicites de manière illimitée dans le temps et portant sur les éventuels contenus à venir (9).
Bien que le DSA, entrée en vigueur le 17 février 2024, n’ait pas été directement applicable dans cette affaire dont les faits remontent à avant, son influence est perceptible dans les arguments déployés par la société DStorage ou les motifs de la décision de la Cour de cassation. De fait, le DSA vise à renforcer la régulation des grandes plateformes numériques en précisant les obligations de transparence et de diligence imposées en matière de gestion des contenus illicites diffusés grâce à leurs services.
Les hébergeurs sont désormais tenus d’instaurer des systèmes de modération et de notification des contenus illicites. Le DSA prévoit en effet que les fournisseurs de services d’hébergement doivent mettre en place des mécanismes permettant à tout particulier ou toute entité légale de leur signaler la présence de contenus illicites (10), à l’instar de l’outil « Takedown tool » dont se prévalait la société DStorage. Le DSA instaure également des mécanismes pour améliorer le traitement de ces notifications et renforcer leurs obligations à l’égard des injonctions des autorités compétentes, en lien avec des contenus illicites. Le non-respect de ces obligations est susceptible de donner lieu à des amende d’un montant maximum de 6 % du chiffre d’affaires mondial annuel de la grande plateforme numérique concernée.
L’un des enseignements majeurs de l’arrêt du 26 février 2025 réside dans la réaffirmation du principe selon lequel l’hébergeur, pour bénéficier de l’exonération de responsabilité prévue par la LCEN (11), doit agir rapidement et de manière diligente pour retirer les contenus illicites une fois qu’il en a été informé.

Vers des politiques proactives de contrôle
Dans cette décision, la Cour de cassation rappelle que la responsabilité des hébergeurs ne peut être exclue s’ils ne mettent pas en œuvre des moyens raisonnables pour surveiller activement les contenus partagés par leurs utilisateurs. Cette position renforce la nécessité, pour les acteurs du secteur numérique, de mettre en place des mécanismes efficaces de notification et de retrait des contenus illicites. En outre, la plus haute juridiction française incite à la mise en place de politiques proactives de contrôle, d’autant plus dans un contexte où la régulation des plateformes devient de plus en plus stricte. @