Règlement européen sur les services numériques, le Digital Service Act -DSA, et le Digital Market Act -DMA- visent à encadrer les contenus numériques sur les grandes plates-formes et à régir l'activité des contrôleurs d'accès pour favoriser la concurrence.
Alors que l'entrée en vigueur est prévue le 25 Août prochain, quels seront les services concernés, les sanctions et l'implication au niveau national?
Le paquet Digital Services Act est une initiative de la Commission européenne, qui comporte deux dimensions : d’une part les enjeux de responsabilité des plateformes numérique à l’égard des contenus dont elles assurent la publication, d’autre part les problèmes soulevés par le fait que certaines grandes plateformes numériques agissant comme des gatekeepers contrôlent des écosystèmes de plateformes de plus en plus importants.
La liste des grandes plates-formes concernées par le DSA vient juste d'être publiée.
Il s'agit notamment de Google (Search, Play Store, Maps, Shopping, Youtube)
Méta (Facebook et Instagram); Apple (App Store); Amazon; Twitter; Snapshat; Pinterest; Wikipedia; ByteDance (TitTok); Alibaba (AliExpress); Booking et Zalando.
“Nous avons besoin d'une meilleure supervision pour ces grandes plateformes, comme nous l'avons fait pour le système bancaire après la crise financière.” Thierry Breton, commissaire européen au marché intérieur
Des amendes pouvant aller jusqu'à 6 % du CA mondial
Les 19 services mentionnés devront se soumettre au DSA dès le 25 août. Les réseaux sociaux devront respecter de nouvelles obligations en matière de modération des contenus haineux ou illégaux, et de la désinformation. Les marketplaces devront contrôler l’identité des vendeurs. Et la publicité ciblée à destination de mineurs ou visant des données sensibles, comme l’origine ethnique, l’orientation sexuelle ou les croyances religieuses, sera interdite.
Le DSA prévoit des audits annuels des grandes plateformes. En cas d’infraction, la Commission européenne pourra leur infliger des amendes pouvant aller jusqu’à 6% du chiffre d’affaires mondial.
Pour rappel, le Digital Market Act, concerne lui plus particulièrement les entreprises technologiques considérées comme « gardiens des portes d’internet », c’est à dire les entreprises qui proposent des services digitaux dont dépendent les activités commerciales d’autres entreprises. C’est par exemple le cas des moteurs de recherche comme Google, puisqu’un consommateur recherchant un produit vendu par une entreprise en ligne va devoir passer par l’intermédiaire d’un de ces moteur pour y accéder. La Commission européenne a donc l’ambition de mettre en place un large cadre de régulation pour empêcher les entreprises technologiques de tirer profit de leur position de « gardien d’internet ».
Un projet de Loi Numérique au niveau national
Un projet de Loi numérique doit mettre en œuvre en droit français les textes européens DSA et DMA. C'est l'Arcep qui sera chargée de la mise en œuvre de ces nouvelles dispositions.
L’Arcep propose ainsi une boîte à outils de « remèdes », qui s’inspire de la démarche mise en œuvre avec succès depuis plusieurs décennies dans le secteur des télécoms.
Si certains de ces remèdes pourraient être appliqués à toutes les plateformes numériques structurantes (notamment ceux qui renforcent la transparence de ces acteurs à l’égard de leurs utilisateurs, particuliers ou professionnels), ils devraient pour l’essentiel être mobilisés au cas par cas, de manière ciblée et proportionnée.
C’est le cas notamment de l’interopérabilité de certains services numériques (c’est-à-dire le renforcement de la capacité de certains sites web, applications ou systèmes d’exploitation à mieux fonctionner ensemble pour favoriser la liberté de choix de leurs utilisateurs).
En termes d'interopérabilité, le projet de Loi Numérique prévoit ainsi:
L'interopérabilité dans des conditions sécurisées avec les services d'informatiques en nuage couvrant le même type de services.
La portabilité des actifs numériques, dans des conditions sécurisées
La mise à disposition gratuite aux utilisateurs et aux fournisseurs de services tiers, d'interfaces permettant la mise en œuvre de l'interopérabilité et de la portabilité.
Autre élément important impactant la portabilité et l'exit de contrat cloud que celle de l'interdiction par un prestataire cloud de facturer des frais de transfert de données vers un autre prestataire ou à une personne exerçant des activités de production, de distribution ou de services.
Quelles obligations et mesures de contrôles ?
Le DSA va distinguer 3 types de plateformes : les services intermédiaires qui regroupent notamment les prestataires de stockage, les fournisseurs d'accès Internet (FAI) ; les hébergeurs; les plates-formes en ligne (principalement B2C) et les plates-formes de grande taille. De nouveaux mécanismes de contrôle et de surveillance vont êtres instaurés
Au niveau européen, via le comité européen des services numériques
Au niveau des états membres, via des organismes de contrôles tels que les CNIL, ou encore de l'Arcep s'agissant du projet de Loi Numérique.
S'agissant des intermédiaires techniques, le DSA ajoute une exception à la non-responsabilité de l’hébergeur, dès lors que le consommateur a été informé que le service a été fourni par lui ou une personne morale agissant sous son contrôle. Le régime de responsabilité de l'hébergeur est donc allégé.
S'agissant des plateformes, le DSA impose la création d'un point de contact unique ou d'un représentant légal et d'une obligation de transparence sur les voies de recours et la publicité en ligne.
Elles devront par ailleurs intégrer dans leurs CGU, tout ce qui peut avoir une incidence sur la délivrance des services (par exemple l'utilisation d'algorithmes)
Un service de plainte à titre gratuit devra être instauré chez les prestataires.
Les notifications de plaintes devront être traitées rapidement. A ce titre, le DSA impose la création d’un signaleur de confiance, qui recevra les notifications de contenus illicites.
Les très grandes plateformes devront elles désigner un délégué à la conformité "compliance officer" et mettre en place des mesures de gestion des risques (analyse d’impact des risques systémiques significatifs de leurs services)