Le règlement européen relatif à un marché unique des services numériques ou Digital Services Act (DSA en anglais) et modifiant la directive 2000/31/CE, adopté le 19 octobre 2022, sera applicable à toutes les entreprises fournissant des services numériques sur le territoire de l’Union européenne (UE), y compris les PME et TPE à compter du 17 février 2024.

Sont concernés les places de marchés, les réseaux sociaux, les hébergeurs, les moteurs de recherches etc.

En effet, depuis l’adoption de la directive européenne 2000/31/CE du 8 juin 2000 sur le commerce électronique, « des services et des modèles économiques nouveaux et innovants, tels que les réseaux sociaux et les plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels, ont permis à la majorité des utilisateurs professionnels et aux consommateurs de transmettre et d’accéder à l’information et d’effectuer des transactions de manière inédite ». (Cons. n°1 du DSA).

Néanmoins, cette transformation numérique et l’utilisation accrue de ces services engendrent de nouveaux risques et défis pour les utilisateurs professionnels et consommateurs. (Cons. n°1 du DSA).

Ce nouveau texte impose des obligations de diligences aux fournisseurs de services intermédiaires, afin de lutter contre les contenus et produits illicites, la désinformation en ligne ou autres risques pour la société.

A l’article 1er du DSA, il est clairement énoncé que le règlement a pour objectif de contribuer au bon fonctionnement du marché intérieur des services intermédiaires en établissant des règles harmonisées pour un environnement en ligne sûr, prévisible et fiable qui facilite l’innovation et dans lequel les droits fondamentaux consacrés par la Charte des droits fondamentaux de l’UE, y compris le principe de protection des consommateurs, sont efficacement protégés.

I- Vers un comportement responsable et diligent des fournisseurs de services intermédiaires 1. Le Champ d’application du DSA

– La notion de « contenu illicite »

A l’article 3 du DSA, le contenu illicite est défini de manière large, comme : « Toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union ou au droit d’un Etat membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit ».

Il peut s’agir par exemple en matière commerciale, de vente de produits non conformes ou contrefaits, de vente de produits ou de fourniture de services en violation du droit en matière de protection des consommateurs, de l’utilisation non autorisée d’un matériel protégé par le droit d’auteur, de l’offre illégale de services de logement etc.

– Les entreprises fournissant des services en ligne aux destinataires européens

Sont concernés par le DSA, les « fournisseurs de services intermédiaires », en ligne, qui sont définis comme des « services de la société de l’information », consistant aux services de « simple transport », aux services de « mise en cache » ou aux services d’«hébergement » d’informations fournies par un « destinataire du service », personne physique ou morale, dès lors qu’il existe un lien étroit avec l’UE. (Art. 3 du DSA)

Ce lien est constaté lorsque l’entreprise dispose d’un établissement stable dans l’Union ou dans le cas contraire, lorsqu’elle fournit des services à destination d’un nombre significatif de destinataires dans un ou plusieurs États membres ou encore, si elle cible ses activités sur un ou plusieurs États membres. (Cons. 8 et Art. 3 du DSA).

2. La responsabilité des fournisseurs de services intermédiaires (FSI)

A l’instar de la directive européenne sur le commerce électronique, le DSA maintient le régime de responsabilité limitée des FSI.

Responsabilité des fournisseurs de service de « simple transport ». – L’article 4 du DSA énonce que les fournisseurs de services ne sont pas responsables des activités des utilisateurs, sous trois conditions cumulatives.

D’une part, les fournisseurs ne doivent pas être à l’origine de la transmission (1). D’autre part, ils ne doivent pas sélectionner le destinataire de la transmission (2); et enfin, ils ne doivent pas sélectionner, ni modifier les informations faisant l’objet de la transmission (3).

Responsabilité des services de « mise en cache ».- L’article 5 du DSA prévoit que les FSI ne sont pas responsables du stockage automatique, intermédiaire et temporaire d’une information illicite, sous cinq conditions cumulatives.

D’une part, ils ne doivent pas modifier les informations (1). D’autre part, ils doivent respecter les conditions d’accès aux informations (2). Aussi, ils doivent respecter les règles concernant la mise à jour des informations, indiquées d’une manière largement reconnue et utilisée par le secteur (3). Mais encore, ils ne doivent pas entraver l’utilisation licite de la technologie, largement reconnue et utilisée par le secteur, dans le but d’obtenir des données sur l’utilisation des informations (4). Et enfin, ils doivent agir promptement pour retirer les informations qu’ils ont stockées ou pour rendre l’accès à ces informations impossible dès qu’ils ont effectivement connaissance du fait que les informations à l’origine de la transmission ont été retirées du réseau ou que l’accès aux informations a été rendu impossible, ou du fait qu’une autorité judiciaire ou administrative a ordonné de retirer les informations ou de rendre l’accès à ces informations impossibles (5).

Responsabilité des services d’hébergement.- L’article 6, à l’instar de l’article 6, I, 2 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), énonce que les hébergeurs ne peuvent voir leur responsabilité engagée en raison des contenus qu’ils stockent, à condition qu’ils n’aient pas effectivement connaissance de l’activité illégale ou du contenu illicite et, en ce qui concerne une demande en dommages et intérêts, qu’ils n’aient pas conscience de faits ou de circonstances selon lesquels l’activité illégale ou le contenu illicite est apparent. Et si, après avoir été dûment informés de leur caractère illicite, ils ont promptement agi pour les retirer ou en interdire l’accès.

Toutefois, à la différence de l’article 6, I, 2 de la loi LCEN, le régime de la responsabilité atténuée des hébergeurs ne s’applique pas en droit de la consommation.

En effet, la nouveauté du DSA implique que le régime de responsabilité atténuée ne s’applique pas à la responsabilité des plateformes en ligne (« marketplaces ») permettant aux consommateurs de conclure des contrats à distance avec des professionnels, lorsqu’une telle plateforme en ligne présente l’information spécifique ou permet de toute autre manière la transaction spécifique en question de telle sorte qu’un consommateur moyen peut être amené à croire que les informations, le produit ou le service faisant l’objet de la transaction sont fournis soit directement par la plateforme en ligne, soit par un destinataire du service agissant sous son autorité ou son contrôle. (Art. 6 du DSA).

II. Les obligations de diligence pour un environnement en ligne sûr et transparent

1. Les obligations générales : les dispositions applicables à tous les fournisseurs de services intermédiaires

Les fournisseurs de services intermédiaires ont l!obligation de désigner un point de contact unique. Ce point de contact a pour objectif de faciliter la circulation d!information, et favoriser sa célérité. Ainsi, les destinataires des services publics devront ainsi pouvoir facilement identifier ces points de contact afin d!entrer en communication directement avec eux uniquement.

Les fournisseurs de services intermédiaires ont l’obligation de préciser un certain nombre d’informations dans leurs conditions générales (article 14 du DSA) tels que les outils et mesures utilisés à des fins de modération de contenus, ou encore la prise de décisions fondées sur des algorithmes. Ces informations doivent être énoncées dans un langage clair, simple, intelligible et aisément abordable. En présence d’un service principalement adressé à des mineurs, les restrictions relatives à l’utilisation du service doivent être énoncées, de manière compréhensible, pour ces mêmes mineurs.

En ce qui concerne les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne, ceux-ci se doivent de fournir un résumé de leurs conditions générales. Ils ont une obligation supplémentaire de publication de leurs conditions générales dans les langues officielles de tous les Etats membres dans lequel ils proposent leurs services.

Une obligation de mise à disposition du public, de rapports clairs sur les éventuelles activités de modération des contenus est imposée à l’article 15 du DSA, pour les fournisseurs de services intermédiaires. Les rapports sont émis au moins une fois par an et comprennent notamment le nombre d’injonctions reçues des autorités des Etats membres, ou encore le nombre de réclamations reçues.

Attention toutefois, le paragraphe 1er de l’article 15 ne s’applique pas aux micro-entreprises (moins de 10 salariés et dont le chiffre d’affaires annuel n’excédant pas 2 millions d’euros) ou petites entreprises moins de 50 salariés et dont chiffre d’affaires annuel n’excédant pas 10 millions d’euros).

2. Les obligations supplémentaires spécifiques aux fournisseurs d’hébergement (y compris les plateformes en ligne)

Les fournisseurs de services d’hébergement mettent en place des mécanismes permettant à tout particulier ou entité de signaler la présence d’un contenu potentiellement illicite (article 16 du DSA). L’objectif est de faciliter la soumission de notifications. Le particulier devra par exemple être de bonne foi en donnant une explication suffisamment précise et étayée de son allégation. Les fournisseurs de services d’hébergement traitent ensuite ces notifications en temps opportun, de manière dirigeante, non arbitraire et objective.

Les fournisseurs de services d’hébergement fournissent à tous destinataires du service un exposé des motifs, lorsque, par exemple, une suspension d’un paiement monétaire est prévu, ou alors en cas de retrait de contenus.

En présence de soupçons d’infraction pénale présentant une menace pour la vie ou la sécurité d’une ou de plusieurs personnes, les fournisseurs de service d’hébergement doit informer promptement les autorités répressive ou judiciaire de l’Etat membre, si l’Etat en question est déterminé avec certitude, dans le cas contraire, il devra informer Europol ou son représentant légal (ou les 2).

3. Les dispositions supplémentaires applicables aux fournisseurs de plateformes en ligne. Sont exclus les micro-entreprises et petites entreprises

Les fournisseurs de plateformes en ligne fournissent aux destinataires du service un système interne de traitement des réclamations efficaces afin de leur permettre d’introduire gratuitement et par voie électronique des réclamations contre la décision prise par le fournisseur de la plateforme en ligne en cas de contenu illicite ou incompatible avec les conditions générales.

Les fournisseurs de plateformes en ligne doivent notamment informer les plaignants, dans les meilleurs délais, de la décision prise.

L’article 22 du DSA prévoit l’existence de signaleurs de confiance, qui sont une entité indépendante des fournisseurs de plateformes en ligne. Ils doivent publier des rapports annuels. Ils effectuent des expertises et détectent ainsi les contenus illicites.

Les fournisseurs de plateforme en ligne sont tenus de concevoir et d’exploiter leurs interfaces en ligne sans intention de tromper ou manipuler les destinataires de leurs services.

Par ailleurs, les fournisseurs de plateformes en ligne doivent indiquer de manière claire la présence d’une publicité (au moyen d’un marquage bien visible) et doivent fournir les fonctionnalités nécessaires permettant de déclarer si le contenu qu’ils fournissent constitue une communication commerciale.

En ce qui concerne les mineurs, les fournisseurs de plateforme en ligne ont l’obligation de mettre en place des mesures appropriées et proportionnées pour garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service.

4. Les dispositions supplémentaires applicables aux fournisseurs de plateformes en lignes, en présence de contrat conclus à distance entre consommateurs et professionnels

Sont exclus les micro-entreprises et petites entreprises.

En cas conclusion de contrats à distance avec des professionnels, les fournisseurs de plateformes en ligne doivent veiller à assurer une traçabilité des professionnels proposant des produits ou faisant la promotion de messages concernant des produits ou pour le compte de marques.

En outre, l’article 31 du DSA prévoit que les fournisseurs de plateformes en ligne permettant aux consommateurs de conclure des contrats à distance doivent veiller à ce que leur interface en ligne soit conçue et organisée de manière à respecter les obligations d’informations précontractuelles, de conformité et sur la sécurité des produits.

Lorsqu’un professionnel propose un produit ou service illégal au consommateur, le fournisseur de plateforme en ligne qui en a connaissance doit, par quelques moyens que ce soit, en informer le consommateur (notamment sur l’illicéité du produit, sur l’identité du professionnel et sur tout moyen de recours pertinents).

5. Les obligations supplémentaires de gestions des risques systémiques imposées aux fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne.

Sont concernées par ces nouvelles obligations, les plateformes en ligne dont le nombre mensuel moyen de destinataires actifs du service dans l’Union est supérieur ou égal à 45 millions.

La Commission détermine la notion de très grande plateforme en ligne ou très grands moteurs de recherche en ligne.

Ainsi, la Commission a adopté le 25 avril 2023, les premières décisions de désignation au titre de règlement sur les services numériques désignant les 17 très grandes plateformes en ligne, comptant au moins 45 millions d’utilisateurs actifs par mois, sont visés par ces décisions : Alibaba, Amazon Store, Apple Store, Booking.com, Facebook, Google Play, Google Map, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipédia, YouTube, Zalando.

Les deux moteurs de recherche en ligne sont Bing et Google Search.

A la suite de leur désignation, les entreprises devront se conformer dans un délai de 4 mois à l’ensemble des nouvelles obligations découlant du DSA.

Ces fournisseurs analysent et évaluent tous les risques systémiques au sein de l’Union découlant de la conception ou du fonctionnement de leurs services et systèmes connexes ou algorithmiques. Ils doivent mettre en place un système d’atténuation de ces risques, par exemple, en adoptant des mesures ciblées visant à protéger les droits de l’enfant (outils permettant d’aider les mineurs à signaler des abus ou à obtenir un soutien).

Un contrôle est effectué, au moins une fois par an, au moyen d’audits indépendants, aux frais des fournisseurs de très grandes plateformes en ligne et très grands moteurs de recherche en ligne. Ces derniers contrôlent le respect des différentes obligations établies par le DSA.

En matière de contrôle, ces mêmes fournisseurs ont l’obligation de donner au coordinateur pour les services numérique de l’Etat membre ou à la Commission, à leur demande motivée et dans un délai raisonnable, l’accès aux données nécessaires pour contrôler et évaluer le respect du présent règlement.

En conclusion : Si le DSA a le mérite d’apparaître comme une avancée intéressante en ce que ce nouveau texte fixe des obligations de transparence et de protection, notamment vis-à-vis des consommateurs, pourra-t-il pour autant favoriser une concurrence loyale au profit des PME et TPE, dans un environnement dominé par les GAFAM?

Dalila Madjid, avocate et Guilda Guilanpour, juriste