Responsabilités sur le Web : ce qui change vraiment avec le règlement sur les services numériques

Même si le DSA a maintenu la « non-responsabilité » des hébergeurs et autres intermédiaires numériques, ce règlement européen sur les services numériques ouvre la voie à une auto-régulation a priori de la part des très grandes plateformes en ligne pour éviter les « risques systémiques ».

Par Anne Cousin, avocate associée, Derriennic Associés

Le règlement sur les services numériques – Digital Services Act (DSA) – du 19 octobre 2022 (1) est applicable à l’ensemble des intermédiaires du numérique depuis février 2024 : fournisseurs d’accès aux contenus, services de cache, moteurs de recherche, hébergeurs, plateformes en ligne. Que faut-il en attendre sur le terrain de la responsabilité de tous ces « fournisseurs de services intermédiaires » en cas de désinformation, cyber harcèlement, diffamation et contenus haineux ? Et ce, « quel que soit leur lieu d’établissement ou leur situation géographique, dans la mesure où ils proposent des services dans l’Union [européenne] ».

Des principes inchangés, parfois chahutés
A l’origine du Web, la question fondamentale fut de distinguer deux acteurs principaux : les éditeurs d’une part, responsables de plein droit des contenus qu’ils créent, et les hébergeurs d’autre part, qui à l’inverse ne doivent, ni même ne peuvent, en répondre. A la veille des années 2000, la bataille en France fut en effet acharnée sur le terrain judiciaire (2) et finalement remportée au Parlement en quelques années – loi « Liberté de communication » et loi « LCEN » (3) – par les tenants de la non-responsabilité des hébergeurs, considérée comme la condition sine qua non du développement des échanges sur Internet. Depuis, le principe a été repris par les lois françaises successives et – bien que la jurisprudence soit parfois hésitante dans son application pratique – la distinction de l’éditeur et de l’hébergeur, et les conséquences qui en découlent, sont fermement maintenue depuis. La régie publicitaire Google Adwords (4), le moteur de recherche Google (5), ou encore la plateforme de partage de vidéos Dailymotion (6) ont ainsi été jugés hébergeurs. Au contraire, ont été considérés comme éditeurs la plateforme Airbnb (7) ou encore le site web de billetterie de manifestations sportives Ticket Bis (8). Le DSA ne revient pas en arrière.

Data Transfer Initiative, cofondée par Google, Apple et Meta, accélère

Depuis que le DMA et le Data Act, sur fond de RGPD, sont entrés en vigueur dans l’Union européenne, les grandes plateformes numériques s’organisent pour mettre en pratique la portabilité des données. Google, Apple et Meta accélèrent dans ce domaine via la Data Transfer Initiative (DTI).

Permettre aux utilisateurs de réaliser des transferts de données simples, rapides et sécurisés, directement entre les services. Telle est la promesse de l’organisation Data Transfer Initiative (DTI), basée à Washington et cofondée en 2018 par trois des GAFAM : Google, Meta et Apple. Ces travaux se sont accélérés avec l’entrée en vigueur le 1er janvier 2024 du Data Act (DA), le règlement européen sur « l’équité de l’accès aux données et de l’utilisation des données » (1), et le 7 mars 2024 du Digital Markets Act (DMA), le règlement sur les marchés numériques (2).

Transférabilité des photos, vidéos et musiques
Que dit le DMA au juste ? « Le contrôleur d’accès [gatekeepers] assure aux utilisateurs finaux et aux tiers autorisés par un utilisateur final, à leur demande et gratuitement, la portabilité effective des données fournies par l’utilisateur final ou générées par l’activité de l’utilisateur final dans le cadre de l’utilisation du service de plateforme essentiel concerné, y compris en fournissant gratuitement des outils facilitant l’exercice effectif de cette portabilité des données, et notamment en octroyant un accès continu et en temps réel à ces données ». Tandis que le DA, lui, consacre le « droit à la portabilité des données » vis-à-vis non seulement des GAFAM (et tout gatekeepers) mais aussi des fournisseurs de services de cloud. La portabilité des données est également prévue par le règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018 (3).
Aussi, sous la pression de l’Union européenne, les travaux de la DTI s’intensifient, comme l’explique Chris Riley (photo), le directeur de cette organisation américaine : « Longtemps considérée comme une question de niche – qualifiée étiquetée comme “un droit obscur des personnes concernées” –, la portabilité des données a pris beaucoup plus d’importance ces dernières années, notamment dans le règlement sur les marchés numériques et celui sur les données. Son impact va au-delà même des contextes de la protection des données et de la concurrence, allant jusqu’à la sécurité en ligne et la gouvernance de l’IA ». Car, toujours dans les Vingt-sept, le règlement sur l’intelligence artificielle (AI Act) est à son tour entré en vigueur, depuis le 1er août 2024 (4). La DTI a donc engagé des travaux sur la portabilité de l’IA personnelle, avec la collaboration de la start-up californienne Inflection (5) qui crée une IA personnelle pour tout le monde, baptisée Pi. Le 18 juin dernier, la DTI a partagé – à l’attention du nouveau Parlement européen – sa vison sur la politique de l’UE pour « responsabiliser les gens par la portabilité des données » et à travers cinq priorités : « Mettre en œuvre les lois existantes de manière efficace ; établir la confiance entre les fournisseurs ; promouvoir la neutralité technologique ; investir dans la sensibilisation et l’engagement ; évaluer la transférabilité dans la pratique, et non sur le papier » (6).

Sur le nombre d’utilisateurs de Telegram, la Commission européenne espère y voir plus clair d’ici octobre

La Commission européenne « doute » que Telegram soit en-dessous des 45 millions d’utilisateurs dans les Vingt-sept. Selon nos informations, les analyses de l’audience de la plateforme cryptée du Franco-Russe Pavel Durov pourraient prendre « au moins un mois » avant de lui appliquer éventuellement le DSA.

« Entre la fin de nos propres analyses que nous sommes en train de mener sur l’audience de Telegram – en distinguant la partie messagerie, qui ne concerne pas le DSA, et la partie groupes ouverts fonctionnant comme un réseau social, relevant du DSA – et le temps qu’il faudra pour s’assurer juridiquement de nos conclusions et de les notifier à l’entreprise Telegram, cela prendra au moins un mois », indique à Edition Multimédi@, Thomas Regnier, porteparole de la Commission européenne. « Nous avons des doutes sur les 41 millions d’utilisateurs en Europe que la plateforme a déclarés en février dernier », ajoute le porte-parole.
Or si la plateforme Telegram atteignait le seuil des 45 millions d’utilisateurs dans les Vingt-sept, elle devrait alors se conformer aux obligations du règlement sur les services numériques, le Digital Services Act (DSA). La Commission européenne a confié à son service Joint Research Center (JRC) le soin d’« étudier la méthodologie de Telegram » (1) dans le calcul du nombre de ses utilisateurs dans l’Union européenne (UE). Bruxelles enquête ainsi discrètement sur Telegram, tandis qu’une procédure judiciaire est en cours en France à l’encontre de son dirigeant fondateur francorusse Pavel Durov (photo), mis en examen le 28 août et placé sous contrôle judiciaire (2).

Telegram, « très grande plateforme en ligne » ?
De son côté, la société Telegram déclare que sa plateforme n’est pas concernée par les obligations du DSA : « Certains éléments non essentiels des services fournis par Telegram peuvent être considérés comme des “plateformes en ligne” dans le cadre du DSA. En août 2024, ces services avaient nettement moins de 45 millions d’utilisateurs actifs mensuels moyens dans l’UE au cours des six mois précédents – ce qui est inférieur au seuil requis pour être désigné comme “très grande plateforme en ligne” » (3).

En prenant X en grippe, Thierry Breton crée un malaise au sein de la Commission européenne

Dix mois après sa première lettre du 10 octobre 2023 à Elon Musk pour lui rappeler les obligations de X (ex-Twitter) au regard du Digital Services Act (DSA), Thierry Breton lui a envoyé une seconde lettre le 12 août 2024. A force d’insister, le commissaire européen créé un malaise à Bruxelles.

Thierry Breton (photo) outrepasse-t-il ses fonctions de commissaire européen en charge du Marché intérieur ? C’est à se demander, tant le Français – que le président de la République française Emmanuel Macron souhaite voir reconduit dans ses fonctions pour le prochain mandat de la Commission européenne – se distingue en prenant parfois des initiatives sans se concerter avec ses collègues à Bruxelles. Il en va ainsi avec le second courrier en dix mois adressé le 12 août 2024 à Elon Musk pour rappeler à ce dernier les obligations du réseau social X (ex- Twitter) en Europe.

Thierry Breton désavoué face à Elon Musk
« Le timing et la formulation de la lettre n’ont été ni coordonnés ni convenus avec la présidente [Ursula von der Leyen] ou le collège [des commissaires européens] », a déclaré Arianna Podestà, porte-parole en cheffe-adjointe de la Commission européenne, selon sa déclaration faite au journal Le Monde. Et d’assurer : « La lettre [de Thierry Breton] ne voulait en aucun cas interférer avec les élections américaines. L’UE n’interfère pas dans des élections » (1). Pourtant, le courrier à Elon Musk daté du 12 août et signé par le commissaire européen au Marché intérieur fait explicitement référence à « la diffusion prévue sur votre plateforme X [en s’adressant à Elon Musk, ndlr] d’une conversation en direct entre un candidat à la présidence américaine et vous-même, qui sera également accessible aux utilisateurs de l’UE ».
Et Thierry Breton d’enfoncer le clou en mettant en garde le propriétaire de la plateforme X : « Nous surveillons les risques potentiels dans l’UE associés à la diffusion de contenu pouvant inciter à la violence, à la haine et au racisme en lien avec un événement politique – ou sociétal – majeur à travers le monde, y compris des débats et des interviews dans le contexte d’élections [en l’occurrence ici des élections américaines, ndlr] ». Dans cette lettre que la présidente de la Commission européenne ne cautionne pas, il est fait ainsi clairement référence à l’interview, prévu le lendemain, que Elon Musk fera lui-même de Donald Trump, candidat Républicain à l’élection présidentielle. L’« interférence » du commissaire européen Thierry Breton aurait pu être considérée comme de l’ingérence de la Commission européenne dans les affaires intérieures des Etats-Unis s’il n’y avait pas eu la mise au point de la porte-parole en cheffe-adjointe de l’exécutif européen. Désavoué par les services de la présidente Ursula von der Leyen, laquelle a été réélue le 18 juillet dernier par les eurodéputés pour un nouveau mandat, Thierry Breton a aussi reçu une réplique cinglante de la part du propriétaire de X.

Telegram est coincé entre la France et la Belgique

En fait. Le 28 août, Pavel Dourov, le patron fondateur de la messagerie-réseau social Telegram a été mis en examen et placé sous contrôle judiciaire avec interdiction de quitter le territoire français. Il est accusé au pénal de « complicité » pour les contenus criminels véhiculés sur sa plateforme mondiale.

En clair. « L’arrestation du président de Telegram sur le territoire français a eu lieu dans le cadre d’une enquête judiciaire en cours. Ce n’est en rien une décision politique. Il revient aux juges de statuer », a tenu à justifier Emmanuel Macron, président de la République, sur X le 26 août (1). Le Franco-Russe Pavel Durov, président fondateur de la messagerie cryptée Telegram – également réseau social aux près de 1 milliard d’utilisateurs dans le monde – a d’ailleurs été naturalisé français par décret du 23 août 2021 (2) – avec l’aval de l’Elysée.
Pourtant, le jeune milliardaire (39 ans), né à Léningrad, vit à Dubaï (Emirats arabes unis) où il dispose du passeport de « riche investisseur étranger », et y a installé le siège de Telegram (3). Paul du Rove – après francisation en 2022 – n’aurait jamais imaginé être, trois ans plus tard, cueilli au Bourget par la police française aux frontières et déféré devant un juge d’instruction du crime organisé pour être mis en examen le 28 août. Son arrestation a pu se faire en raison d’un « mandat de recherche » qui avait déjà été émis contre lui par un service d’enquête de la police nationale chargé de lutter contre les infractions criminelles. La justice française l’accuse de ne pas supprimer sur Telegram des contenus pédocriminels et d’autres illicites (trafic de stupéfiants, blanchiment d’argent, pratique de la violence, apologie du terrorisme, …), ni de suspendre des comptes. C’est donc une procédure au pénal en France, ce qui n’est pas du ressort du Digital Services Act (DSA). Pavel Durov (4) est réputé libertarien, défendeur à tout prix de la liberté individuelle contre toute censure ou restriction. Pénalement, il est considéré comme « complice » des contenus criminels circulant sur sa messagerie cryptée.