Le 23 avril, les Institutions européennes ont conclu un accord de principe pour l’adoption d’un projet de règlement visant à mieux encadrer les contenus diffusés sur les plateformes en ligne.
Avocat au Barreau de Paris depuis 1996, Pascal Lê Dai co-anime le département IP / IT / Data chez jasper avocats.
Que change l’adoption du Digital Services Act pour les opérateurs numériques ?
Avant de commencer, je voudrais apporter une petite précision. Pour simplifier, nous pouvons parler des opérateurs numériques, même si le texte vise les « fournisseurs de services intermédiaires ». Cette notion couvre des activités diverses, par exemple réseau social, commerce électronique, jusqu'au véritable hébergement.
Pour préciser ce que le DSA change pour eux, on peut synthétiser cette réglementation en deux points. D'abord, le DSA prévoit un encadrement à géométrie variable de la responsabilité de ces opérateurs, en fonction de leur taille. Ensuite, il prévoit une obligation qu’on pourrait appeler d’autogestion avec une intervention renforcée des autorités sur l'activité de ces opérateurs.
Sur le premier point, il n'y a pas de renversement à 180 degrés du principe actuel, qui est une exonération de principe de la responsabilité pour les contenus diffusés sur les plateformes. Ainsi, il n'y a pas d'obligation générale de surveillance ou de recherche de contenu illicite. Néanmoins, désormais, les opérateurs entreront dans la zone de responsabilité dès lors qu'ils joueront un rôle actif sur ces contenus. Par ailleurs, les opérateurs situés hors de l'Union européenne devront nommer un point de contact unique dans un des pays membres pour la communication avec les autorités de l'Union européenne.
De plus, l'opérateur qui n'a pas d'établissement dans l'Union européenne, mais qui propose ses services sur ce territoire devra désigner un représentant légal dans un pays membre qui pourra être tenu pour responsable du non-respect des obligations au titre du règlement, sans préjudice de la responsabilité de l'opérateur lui-même. C'est un changement de paradigme pour les opérateurs qui s'organisaient jusqu’à présent pour être le moins atteignables juridiquement.
J'évoquais un deuxième point : une obligation d’autogestion avec une intervention renforcée des autorités sur l'activité des opérateurs. Il y a d'abord une obligation de s'autogérer, sur le modèle de l'accountability du RGPD. Ainsi, par exemple, le DSA met à la charge des opérateurs une obligation de traçabilité des professionnels qui vendent leurs produits ou leurs services sur leurs plateformes. De plus, les opérateurs doivent mettre en place un mécanisme qui permet aux utilisateurs de signaler des contenus illicites avec en corollaire une obligation de traitement beaucoup plus encadrée que ce qui existe aujourd'hui. Pour les très grandes plateformes, soit celle de plus de 45 millions d'utilisateurs actifs par mois, il s'agit d'un mécanisme d'autogestion extrêmement poussé, avec des mesures comme par exemple l'obligation de nommer un ou plusieurs responsables chargés de s'assurer du respect du DSA, l'obligation au moins une fois par an d'un audit fait par un tiers indépendant payé par l'opérateur, ou encore une obligation d'évaluer l'impact positif du système mis en place en interne sur les contenus illicites.
Quant aux sanctions, elles sont basées sur le chiffre réel affiché par l'opérateur, là encore sur le modèle du RGPD : certaines sanctions peuvent aller jusqu'à 6 % du chiffre d'affaires annuel en cas de violation, 1 % de ce chiffre en cas de communication d'information incorrecte, et en cas d'astreinte, cette dernière peut aller jusqu'à 5 % du chiffre d'affaires quotidien.
Ce texte a-t-il vocation, à l’instar du RGPD, à créer un standard européen ?
Quand on lit les motifs du texte, il apparaît clairement qu'il a pour objectif d'être un standard européen, et même au-delà, à l'instar de ce qu'est devenu le RGPD en matière de réglementation sur les données à caractère personnel. Le DSA s'appliquera, comme on l'a vu, à tous les opérateurs ayant une activité sur le territoire européen, quel que soit leur lieu d’établissement, à moins qu'ils décident d’ignorer ce marché, ce qui ne paraît pas réaliste au regard de son importance.
De plus, il est probable que le DSA tirera vers le haut les standards réglementaires d'autres pays, comme on l'a vu avec le RGPD.
Enfin, il ne faut pas oublier que sur le DSA vient en binôme avec le Digital Markets Act (DMA), dont l'objectif est de réguler les mêmes opérateurs sur des aspects de concurrence, ce qui ne peut que renforcer l'importance de ces textes.
LIRE AUSSI >> IA : quelle proposition de réglementation européenne ?
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.