Trois ans après les premières ébauches du projet, le Digital Services Act (DSA) entre partiellement en vigueur ce 25 août. Cette première vague ne concerne que les « très grandes plateformes », 19 marketplaces, réseaux sociaux ou moteurs de recherche qui comptent plus de 45 millions d'utilisateurs par mois dans l'Union européenne. Le groupe se compose d'un opérateur chinois, AliExpress, de deux plateformes européennes, l'Allemand Zalando et le Néerlandais Booking, et surtout de 17 Américains : Amazon, Apple via son App Store, Bing, Facebook, Instagram, le moteur de recherche Google, Google Play, Google Maps, Google Shopping, YouTube, LinkedIn, Pinterest, Snapchat, Wikipédia et X (ex-Twitter).
Cette liste révèle la vraie cible de l'UE : le DSA s'adresse avant tout aux Gafam (Google, Apple, Facebook , Amazon et Microsoft) sans pour autant les nommer, car elle devra pouvoir s'appliquer aux géants du net de demain. Même s'il s'appliquera en février 2024 à toutes les plateformes, ce sera avec des seuils d'obligation moins élevés en fonction de leur taille. Avec son nouveau règlement, l'Union européenne impose aux plus grands du secteur numérique des comptes à rendre, quelle que soit la nationalité de leur siège social.
Avec le DSA, l'utilisateur doit pouvoir reprendre le contrôle sur sa navigation sur le net
Le DSA s'étend sur cinq différentes sections, avec toute une série de détails. Mais certaines mesures symboliques imposées aux très grandes plateformes ressortent. Elles devront, entre autres :
- Nommer un point de contact avec la Commission européenne, ainsi que des représentants locaux si ce n'est pas déjà le cas.
- Offrir la possibilité aux utilisateurs d'accéder à un dispositif de résolution de dispute indépendant.
- Réécrire leurs termes d'utilisation (CGU) pour qu'ils « soient compréhensibles même par un enfant », dixit la Commission européenne.
- Proposer aux utilisateurs une navigation sans profilage et sans algorithme de recommandation. Pour répondre à cette obligation, Instagram a par exemple déployé un fil chronologique, accessible uniquement par les utilisateurs de l'UE.
- Arrêter la diffusion de publicités ciblées aux utilisateurs mineurs.
- Présenter des outils clairs pour signaler les contenus illicites.
En outre, les plateformes devront mener des auto-évaluations de risque chaque année, qui seront ensuite vérifiées par un audit indépendant, puis rendues publiques en fin de cycle. « A l'instar de Mark Zuckerberg qui déclarait qu'aucune fake news ne circulait sur Facebook, les plateformes ne semblent pas toujours au courant de l'état des risques sur leur plateforme. C'est pourquoi le texte force une obligation légale d'analyse de risque complète, ensuite remise au régulateur », développe un haut-fonctionnaire de la Commission européenne, lors d'un brief avec la presse.
Certaines plateformes (Meta, Google, Snapchat ou encore TikTok) se présentent déjà en bons élèves, avec des déclarations publiques sur les changements qu'ils ont implémentés. En parallèle, l'UE a proposé aux plateformes concernées de mener des audits blancs de leur organisation, afin d'évaluer leurs mesures de mise en conformité au DSA. Une délégation de l'UE, autour du président de la Commission Thierry Breton, s'est même déplacée dans les bureaux californiens de Twitter (devenu X) pour discuter avec le propriétaire et co-dirigeant Elon Musk et la nouvelle directrice générale Linda Yaccarino, puis en Irlande dans les locaux de Meta. « Nous avons constaté les efforts sérieux effectués pour intégrer le DSA dans leurs systèmes. Mais aucune des plateformes qui s'est soumise à l'audit blanc n'étaient tout à faire prête à l'époque », nuance-t-on du côté de l'Union européenne.
Le spectre des sanctions
« L'objectif du DSA est de contrebalancer le régime de responsabilité, qui était très favorable aux éditeurs », explique à La Tribune Frédéric Sardain, avocat spécialiste du droit du numérique au cabinet Jeantet. Le nouveau règlement fait donc contrepoids avec la directive e-commerce, dont les principes sont intégrés dans le droit français par la loi pour la confiance dans l'économie numérique. Ce texte, daté de 2001, avait pour finalité de favoriser l'essor des opérateurs internet. En conséquence, il instaurait un cadre souple, et même volontairement une forme de « laxisme de responsabilité », dixit l'avocat.
Mais dès le début des années 2010, les plateformes ont grandi de façon exponentielle, et les abus se sont multipliés. L'Union européenne a donc changé de posture, d'abord avec le RGPD, puis maintenant avec le DSA, qui sera suivi du Digital Market Act (plus porté sur la régulation de l'écosystème). Désormais, les entreprises doivent être en conformité en permanence. « Puisque les pouvoirs publics n'ont pas les moyens de contrôler tous les abus, ils contraignent les plateformes à suivre une liste de prérequis. L'obligation de mise en conformité passe ainsi à la charge des opérateurs », résume l'avocat, avant d'ajouter, « avec ce texte, la régulation du numérique se rapproche d'une logique de droit de la concurrence. »
Dans ce nouveau schéma, le régulateur peut contrôler à n'importe quel moment, et infliger des sanctions en cas de non-conformité. Pour mener ces contrôles, la Commission européenne dispose de plusieurs équipes de spécialistes sur différents sujets comme la protection des mineurs, la criminalité en ligne, ou encore le droit de la propriété intellectuelle. Elle a même créé un centre d'expertise algorithmique à Séville, qui sera composé à terme d'une trentaine d'experts. « Le DSA prévoit que des experts exigent un accès direct aux algorithmes si nécessaire », précise l'institution. Pour s'assurer d'avoir la force de frappe nécessaire pour faire respecter le règlement, l'UE s'appuie aussi sur des accords avec les principaux régulateurs nationaux, à l'instar du super gendarme français des médias et d'Internet, l'Arcom.
De premiers bras de fers déjà à l'horizon
L'application des sanctions soulève forcément des questions. Le texte prévoit des amendes allant jusqu'à 6% du chiffre d'affaires mondial brut de la plateforme. Mais face à un refus de mise en conformité, l'UE ira-t-elle jusqu'à ces sommes très importantes, voire jusqu'à couper l'opérateur en Europe ? « Rien qu'en termes d'image et de réputation, les entreprises concernées n'ont pas intérêt à prendre de risque. Je pense que l'UE mise sur cet effet d'épouvantail pour éviter les bras de fer », note Frédéric Sardain. « Mais jouer sur une procédure, avec les limites, peut faire gagner beaucoup de cash à ces entreprises. Le régulateur devra taper fort pour éviter ces cas de figure », ajoute-t-il.
La Commission européenne se dirige déjà vers un premier conflit, car certaines plateformes, qu'elle ne souhaite pas nommer, n'ont pas communiqué les premiers chiffres demandés. Interrogé sur le sujet lors du brief de presse, la Commission se montre tranchante : « Nous allons poursuivre ceux qui n'ont pas partagé correctement leurs chiffres ».
Dette : « La signature de la France reste très forte » (Aurore Lalucq, députée européenne) (37)
Sujets les + commentés