Le Digital Service Act, un cadre européen pour la fourniture de services en ligne

Dans le cadre de sa stratégie pour un marché unique numérique et parallèlement au Digital Market Act (sur lequel, v. Dalloz actualité, 8 janv. 2020, obs. C. Crichton), la Commission européenne propose un règlement sur les services numériques qui sera soumis à la procédure législative ordinaire de l’Union européenne. Selon son communiqué de presse, les règles prévues par ce règlement visent à :

• mieux protéger les consommateurs et leurs droits fondamentaux en ligne ;
   
• mettre en place un cadre solide pour la transparence des plateformes en ligne et clair en ce qui concerne leur responsabilité ;
   
• favoriser l’innovation, la croissance et la compétitivité au sein du marché unique.

La proposition consiste à imposer des obligations aux fournisseurs de services intermédiaires en ligne, dont la diversité des acteurs et des cadres réglementaires présente le risque d’une distorsion du marché au détriment du consommateur. Elle se concentre majoritairement sur la lutte contre les contenus illicites en ligne et la transparence des plateformes. La Commission fait le choix louable d’intensifier les obligations des fournisseurs de services intermédiaires en ligne à mesure de l’importance des effets qu’ils produisent sur la société. Trois catégories de services sont ainsi créées afin de correspondre au mieux aux usages actuels, étant précisé que ces qualifications peuvent tout à fait se cumuler : les services intermédiaires (regroupant transport d’informations, caching et hébergement), les plateformes en lignes et les très grandes plateformes en ligne.

La mise en œuvre effective du règlement est assurée par un cadre institutionnel détaillé. Chaque État membre désignera une ou plusieurs autorités compétentes pour veiller à l’application du règlement, et parmi elles sera désigné un coordinateur de services numériques (art. 38 ; v., pour l’articulation des compétences, art. 39 à 46). À l’échelle de l’Union sera créé le Comité européen des services numériques (art. 47 à 49) qui aura pour mission de conseiller les coordinateurs et la Commission. Sera également créé un système de partage d’informations entre les coordinateurs, la Commission et le Comité (art. 67). Ce cadre institutionnel est complété par des normes de soft law : promotion de standards (art. 34), codes de conduite (art. 35) et codes de conduite spécifiquement conçus pour la publicité en ligne (art. 36).

Seront abordées successivement les différentes obligations pesant sur les prestataires du numérique, en fonction de leur activité : fournisseur d’accès, hébergeur, plateforme ou très grande plateforme.

Obligations applicables aux prestataires de services intermédiaires

Les services intermédiaires regroupent des catégories familières : simple transport d’informations sur un réseau de communication, forme de stockage dite caching et hébergement (art. 2, f). Les prestataires assurant ces services sont en effet aujourd’hui régis par les articles 12 à 15 de la directive sur le commerce électronique 2000/31/CE du 8 juin 2000, transposés par l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). La proposition de règlement abroge ces articles (art. 71) et les remplace par ses articles 3 à 9. Les dispositions en vigueur, telles que nous les connaissons, ne sont pas fondamentalement révisées. Les articles 3 à 5 de la proposition de règlement sont identiques aux articles 12 à 14 de la directive commerce électronique, excepté l’ajout d’une exception à l’irresponsabilité de l’hébergeur s’il a délivré une information de manière à laisser croire au consommateur que le produit ou service faisant l’objet de la transaction est fourni par lui ou par une personne agissant sous son contrôle (art. 5, § 3). L’article 7 de la proposition de règlement reprend l’article 15 de la directive relative au commerce électronique (LCEN, art. 6, I, 7°) qui exclut une obligation générale de surveillance pesant sur les prestataires de services intermédiaires.

Si la proposition de règlement est adoptée en l’état, le régime pesant sur les fournisseurs d’accès à internet et sur les hébergeurs perdurera. De la sorte, perdurera aussi la qualification jurisprudentielle d’hébergeur résultant d’un comportement purement technique, automatique et passif, de sorte qu’il ne peut pas jouer de rôle actif de nature à lui confier une connaissance ou un contrôle des données hébergées (CJUE 23 mars 2010, aff. jtes C-236/08 à C-238/08, Google c. Louis Vuitton Malltetier, Dalloz actualité, 30 mars 2010, obs. C. Manara ; D. 2010. 885, obs. C. Manara ; ibid. 1966, obs. J. Larrieu, C. Le Stanc et P. Tréfigny-Goy ; ibid. 2011. 908, obs. S. Durrande ; Légipresse 2010. 158, comm. C. Maréchal ; RTD eur. 2010. 939, chron. E. Treppoz  ; 12 juill. 2011, aff. C-324/09, L’Oréal c. eBay, Dalloz actualité, 19 juill. 2011, obs. C. Manara ; D. 2011. 1965, obs. C. Manara ; ibid. 2054, point de vue P.-Y. Gautier ; ibid. 2363, obs. J. Larrieu, C. Le Stanc et P. Tréfigny-Goy ; ibid. 2012. 1228, obs. H. Gaudemet-Tallon et F. Jault-Seseke ; ibid. 2836, obs. P. Sirinelli ; Légipresse 2011. 463 et les obs. ; ibid. 465 et les obs. ; RTD eur. 2011. 847, obs. E. Treppoz ). De même, son régime légal de responsabilité atténuée sera maintenu, par lequel la responsabilité de l’hébergeur ne pourra être engagée que si le contenu était manifestement illicite et qu’il n’a pas agi promptement pour le retirer à compter de la notification. Pour les fournisseurs d’accès, ceux-ci continueront de bénéficier d’une irresponsabilité quant aux contenus transmis par eux, s’ils n’en sont pas à l’origine, s’ils ne sélectionnent pas le destinataire de la transmission et s’ils ne sélectionnent et ne modifient pas le contenu de la transmission.

La proposition de règlement ajoute néanmoins deux précisions intéressantes : la première tend à rappeler que ce n’est pas parce que les intermédiaires techniques ont de leur propre initiative mené des investigations et supprimé ou rendu impossible d’accès les produits ou services illicites, qu’ils ne bénéficient pas pour autant du régime de responsabilité atténuée exposé ci-dessus (art. 6). La seconde regroupe les dispositions procédurales en matière d’injonctions qui leur sont adressées (art. 8 et 9).

Obligations applicables à tous les prestataires visés par le règlement

La proposition de règlement énonce ensuite les obligations imposées à tous les prestataires visés par le règlement (art. 10 à 13). Quoique la section en cause vise tous les fournisseurs de services intermédiaires, renvoyant aux fournisseurs d’accès et aux hébergeurs, cette extension du champ d’application personnel se déduit des intitulés des sections suivantes qui évoquent des « dispositions supplémentaires » applicables à d’autres opérateurs (v. égal. communiqué de presse, qui évoque bien des obligations cumulatives). Sont ainsi concernés les fournisseurs d’accès, les hébergeurs, les plateformes en lignes et les très grandes plateformes qui seront définies infra.

Tous ces prestataires doivent créer un point de contact unique à destination des autorités (art. 10) ou, s’ils ne sont pas établis sur le territoire de l’Union, un représentant légal (art. 11). Les articles suivants prévoient une obligation de transparence à leur charge. Les prestataires doivent mentionner dans leurs conditions générales d’utilisation une information sur les restrictions réglementaires qui impactent leurs services, notamment les mesures prises pour la modération de contenus, incluant les prises de décisions par algorithmes ou la modération effectuée par des êtres humains (art. 12, § 1). Ces mesures de restriction doivent être objectives et proportionnées (art. 12, § 2). Ils doivent également publier au moins une fois par an, de manière claire, compréhensible et détaillée un rapport des procédures de modération engagées durant cette période, incluant une liste d’informations détaillée à l’article 13, § 1. Cette obligation ne s’applique pas aux micro- ou petites entreprises (art. 13, § 2).

Obligations supplémentaires applicables aux hébergeurs, incluant les plateformes en ligne

Les plateformes en ligne sont définies comme des fournisseurs de services d’hébergement qui, à la demande d’un bénéficiaire, hébergent et diffusent au public des informations, sauf si cette activité est mineure et purement accessoire d’un autre service, sous réserve que cette intégration à un autre service ne constitue pas un moyen de contourner l’application du règlement (art. 2, h). Les articles 14 et 15 de la proposition de règlement leur imposent, ainsi qu’aux simples hébergeurs, des obligations supplémentaires.

En premier lieu, les hébergeurs et plateformes en ligne doivent mettre en place un mécanisme aisément accessible qui permet à toute personne de leur notifier un contenu illicite (art. 14, § 1). Ces prestataires doivent tout mettre en œuvre pour faciliter le déroulement de cette procédure et, à cette fin, le règlement liste quelques éléments à mentionner dans le formulaire (art. 14, § 2). Si le règlement est voté en l’état, le droit français sera amené à évoluer. En effet, l’article 6, I, 5°, de la LCEN impose un formalisme relativement lourd aux fins de notifier un contenu illicite à un hébergeur et déclencher sa présomption de connaissance de l’illicéité du contenu (v., rejetant la preuve de cette notification pour absence de constat d’huissier et mentions insuffisantes, Civ. 1^re, 17 févr. 2011, n° 09-67.896, Bull. civ. I, n° 30 ; Dalloz actualité, 25 févr. 2011, obs. C. Manara ; D. 2011. 1113, obs. C. Manara , note L. Grynbaum ; ibid. 2164, obs. P. Sirinelli ; ibid. 2363, obs. J. Larrieu, C. Le Stanc et P. Tréfigny-Goy ; Légipresse 2011. 145 et les obs. ; ibid. 297, comm. V. Varet ; RTD com. 2011. 351, obs. F. Pollaud-Dulian ). Désormais, ce sera à l’hébergeur de faciliter le mécanisme de notification, faisant basculer le respect du formalisme du signaleur à l’hébergeur. En outre, la simple notification fait naître une présomption de connaissance du contenu illicite (art. 14, § 3), rendant ainsi responsable l’hébergeur ou la plateforme si le contenu manifestement illicite n’a pas été retiré promptement.

En second lieu, les hébergeurs et plateformes en ligne sont soumis à une obligation d’information quant à la procédure qui vient d’être exposée. Lorsqu’un contenu est supprimé ou lorsque son accès y est bloqué, ils doivent en informer le bénéficiaire et en préciser les motifs (art. 15, § 1). Le règlement précise les informations à fournir a minima, comme la portée territoriale de la mesure, les faits et circonstances ayant mené à cette mesure, ou les voies de recours possibles (art. 15, § 2). L’information doit être claire, compréhensible et la plus précise possible, particulièrement à propos des voies de recours (art. 15, § 3). Enfin, la mesure prise et les motifs doivent être accessibles à la Commission par le biais d’une base de données qui ne doit pas contenir de données à caractère personnel (art. 15, § 4).

Obligations supplémentaires applicables aux plateformes en ligne

Sont exclus des dispositions qui vont suivre (art. 16 à 24) les prestataires de services intermédiaires ainsi que les micro- et petites entreprises (art. 16).

Les plateformes en ligne doivent mettre en place un système gratuit de traitement interne des plaintes à l’encontre de ses décisions déclarant un contenu illégal ou incompatible avec ses conditions générales d’utilisation (art. 17, § 1). Le règlement rappelle que ces décisions incluent celles qui suppriment ou empêchent l’accès à une information, celles qui suspendent ou mettent fin à la fourniture d’un produit, ou celles qui suspendent ou suppriment un compte. Ce système de plainte doit être facile d’accès et ergonomique (art. 17, § 2). Les plaintes doivent être traitées dans un délai raisonnable et de manière objective (art. 17, § 3) et les plateformes informent les plaignants de la décision prise et de la possibilité d’un règlement alternatif des différends régi par l’article 18 (art. 17, § 4). Enfin, elles veillent à ce que ladite décision ne soit pas fondée exclusivement sur un traitement automatisé (art. 17, § 5).

L’article 19 impose la création d’un signaleur de confiance, envers qui les notifications d’un contenu illicite lui sont signalées. Son statut, qui dépend de plusieurs qualités, dont son expertise ou son indépendance, est attribué par le coordinateur de services numériques de l’État membre dans lequel il est établi.

L’article 20 encadre les risques d’abus. Ainsi, les plateformes en lignes peuvent suspendre pendant une durée raisonnable et après avoir émis un avertissement préalable, la fourniture de leurs services aux destinataires du service qui fournissent fréquemment un contenu manifestement illégal (§ 1), ce qui est déjà mis en place par la plupart des grandes plateformes. Il en va de même pour un abus dans la mise en œuvre des notifications et réclamations des articles 14 et 17 (§ 2). Ce caractère abusif doit être apprécié au cas par cas et de manière objective, les circonstances ayant donné lieu à des mesures de suspension devant au moins inclure les conditions listées au paragraphe 3, comme le nombre de contenus manifestement illégaux par rapport au nombre de notifications ou plaintes manifestement infondées. Enfin, la politique de la plateforme en la matière doit être clairement exposée dans ses conditions générales, notamment ce qui peut constituer un abus et la durée de la suspension (§ 4).

L’article 21 concerne le cas particulier d’une notification qui contiendrait une suspicion d’infraction pénale grave constituant une menace pour la vie ou la sécurité des personnes, que l’infraction ait eu lieu, soit en cours ou soit susceptible de se produire. En ce cas, la plateforme doit en informer sans délai les autorités concernées.

L’article 22 liste les informations que la plateforme doit récupérer auprès d’un professionnel dans le cas où le service qu’elle propose permet de conclure des contrats à distance entre professionnels et consommateurs.

L’article 23 ajoute des obligations supplémentaires d’information (v. art. 13 préc.) : le nombre de cas soumis à son mode alternatif de règlement des différends et la durée de traitement de ces cas (v. art. 18 préc.), le nombre de suspensions prononcées (v. art. 20 préc.), le nombre de notifications et de plaintes manifestement infondées, ainsi que, le cas échéant, toute utilisation de dispositifs de modération de contenus automatiques (§ 1). Les plateformes doivent également publier tous les six mois une information sur le nombre de bénéficiaires actifs dans chaque État membre (§ 2) et communiquer ces informations sur demande au coordinateur de service numérique (§ 3).

L’article 24, enfin, concerne la publicité en ligne. Dans ce cadre, les plateformes en ligne sont soumises à une exigence supplémentaire de transparence en ce qu’elles doivent veiller à ce que les utilisateurs de leurs services puissent identifier pour chaque publicité, de manière claire et compréhensible, et immédiatement, les éléments suivants : a) le fait que l’information affichée soit une publicité ; b) la personne au nom de laquelle la publicité est diffusée ; et c) des informations sur les principaux paramètres utilisés pour déterminer le destinataire de la publicité.

Obligations supplémentaires applicables aux très grandes plateformes

Les très grandes plateformes, qui sont également soumises aux obligations précédemment décrites, sont définies à l’article 25 du règlement. Pour être qualifiées comme telles, elles doivent fournir leurs services à un nombre moyen d’utilisateurs actifs mensuels au sein de l’Union égal ou supérieur à 45 millions, la méthodologie de calcul étant précisée ultérieurement par un acte délégué de la Commission (§ 1). Ce seuil peut également être ajusté par acte délégué afin de correspondre à un certain pourcentage de la population de l’Union (§ 2), sachant que le Comité européen des services numériques est consulté pour ce calcul (§ 3). Le coordinateur de services numériques de l’établissement de la plateforme doit vérifier le seuil et, à partir de cette vérification, il adopte une décision désignant ou non la plateforme comme étant une très grande plateforme, étant précisé qu’il doit en informer la Commission qui publie au Journal officiel de l’Union européenne une liste à jour des très grandes plateformes et que la qualification s’applique ou cesse à partir de quatre mois suivant cette publication (§ 4).

Le règlement impose à ces très grandes plateformes un certain nombre d’obligations, souvent très contraignantes, de sorte que ce règlement semble présenter l’aveu de leur rôle sociétal désormais indispensable.

L’article 26 du règlement oblige ces très grandes plateformes à effectuer une analyse d’impact des risques systémiques significatifs résultant du fonctionnement et de l’utilisation de leurs services (§ 1), particulièrement pour leurs systèmes de modération et de recommandation de contenu, ainsi que leurs systèmes de sélection et d’affichage des publicités (§ 2). Le premier paragraphe précise que doivent être inclus les risques suivants : a) la diffusion de contenus illicites sur leurs services ; b) les effets préjudiciables sur l’exercice des droits au respect de la vie privée et familiale, à la liberté d’expression et d’information, à l’interdiction de la discrimination et aux droits de l’enfant ; et c) la manipulation intentionnelle de leurs services ayant des effets réels ou prévisibles sur la protection de la santé publique, des mineurs, du discours civique ou liés aux processus électoraux et la sécurité publique.

Il est toutefois regrettable que le règlement n’intègre pas dans ses critères d’analyse d’impact les modalités de classement et de référencement utilisées par les plateformes, qui présentent des effets systémiques tout aussi notables. Bien qu’il existe déjà des exigences de transparence en la matière, tant entre professionnels et consommateurs (dir. « Omnibus » [UE] 2019/2161, 27 nov. 2019) qu’entre professionnels (règl. « P2B » [UE] 2019/1150, 20 juin 2019), il aurait été souhaitable de mentionner l’impact de ce type de services.

L’obligation d’effectuer une analyse d’impact s’explique par l’usage massif, voire, pour certains, indispensable, de certaines plateformes. Le scandale Cambridge Analytica, l’enfermement dans une bulle informationnelle ou culturelle, la polarisation des idées politiques, voire, dans une moindre mesure, la haine en ligne, sont autant de raisons qui peuvent justifier une analyse d’impact. À cet égard, l’article 27 poursuit en obligeant les plateformes à prendre toute mesure pour en atténuer les risques avec la coopération des autorités. Elles peuvent également faire l’objet d’un audit indépendant (art. 29).

Des informations supplémentaires doivent être délivrées si la plateforme inclut dans son service en ligne des publicités (art. 30). Il est intéressant de relever que font partie des informations le fait de savoir si l’annonce était destinée à être diffusée à une ou plusieurs catégories particulières de destinataires et, si oui, les principaux paramètres utilisés à cette fin doivent être mentionnés (art. 30, § 1, d), témoignant là encore la volonté de rendre moins opaques les mécanismes de publicité ciblée.

Sur la transparence des très grandes plateformes, l’article 33 prévoit également que les rapports concernant la mise en œuvre de leur politique de modération des contenus mentionnée à l’article 13 doivent être publiés tous les six mois (§ 1). En plus de ce rapport, les plateformes doivent mettre à la disposition du public et transmettre au coordinateur de leur établissement et à la Commission au moins une fois par an les rapports suivants : résultat de l’évaluation des risques, audit et exécution de l’audit (§ 2). Pour des motifs de sécurité ou de confidentialité, certaines informations peuvent ne pas être publiées (§ 3).

L’article 31 prévoit un mécanisme d’accès aux données des très grandes plateformes par le coordinateur des services numériques, à sa demande, et, le cas échéant, un partage de ces données aux chercheurs agréés.

Enfin, l’article 32 prévoit la désignation d’un ou plusieurs compliance officers.

Outre ces obligations, et sans doute en lien avec la crise sanitaire actuelle, l’article 37 du règlement élabore un protocole de crise qui affecterait de manière extraordinaire la sécurité ou la santé publique. Dans ce cadre, la Commission encourage les très grandes plateformes et, le cas échéant, d’autres plateformes en ligne, à élaborer avec elle un plan d’action, qui peut comprendre les mesures suivantes : affichage d’informations fournies par les autorités des États membres ou de l’Union sur la situation de crise, désignation du point de contact visé à l’article 10 comme responsable de la gestion de crise et, le cas échéant, adaptation des ressources allouées au respect des obligations du règlement aux besoins générés par la situation de crise (§ 2). Les autorités des États membres, les institutions de l’Union et éventuellement la société civile participent à ce protocole (§ 4).

Il convient de relever enfin que des dispositions procédurales spécifiques sont prévues pour les très grandes plateformes (art. 50 à 66). La Commission dispose à ce titre d’une large compétence pour surveiller, poursuivre et sanctionner ces plateformes.