Les répercussions du "Digital Services Act" (DSA) au-delà de l'Union Européenne

Présentation

La stratégie numérique de l'Union Européenne (UE) axée à la fois sur le renforcement du partage et de la protection des données, la transparence et la sécurité en ligne, l'innovation et la croissance économique du marché numérique, présente un intérêt significatif pour les pays tiers à l'Union Européenne (UE), dont Monaco.

Le "paquet législatif" numérique de l'UE étend ses contraintes aux entreprises des pays tiers, avec des normes strictes pour garantir la sécurité et l'intégrité de son marché intérieur.

L'UE entend ainsi faire de la sécurité numérique un facteur de confiance des utilisateurs et de compétitivité, et promouvoir une concurrence équitable sur le marché numérique. Et ne cache pas son souhait d'impulser une harmonisation des règles au-delà de se frontières.

Ces enjeux sont de même des aspects essentiels de la transition numérique de Monaco qui prône un numérique de "sécurité' et de "confiance" débarrassé de la "concurrence déloyale", "responsable, protecteur, au service de l’humain".

Cet article est dédié en particulier au Règlement (UE) 2022/2065 du 19 octobre 2022 sur les services numériques ou "Digital Services Act" (DSA) qui tout juste applicable est au cœur de l'actualité.

En effet, le DSA a d'ores et déjà été contesté par Zalando (Tribunal UE, Zalando SE (Berlin, Allemagne)/Commission, Affaire T-348/23, recours en annulation introduit le 27 juin 2023, en cours) et Amazon (Tribunal UE, Amazon Services Europe/Commission, Affaire T‑367/23 R, demande de sursis à exécution par requête du 5 juillet 2023, accordé le 27 septembre 2023).

En parallèle, le DSA a été actionné par la Commission européenne, dans le contexte du conflit entre Israël et le Hamas. Une première demande d'informations a été adressée à X (anciennement Twitter) concernant la propagation présumée de contenus illicites et d'éléments de désinformation (en particulier la diffusion de contenus à caractère terroriste et violent et de discours haineux) et le respect d'autres dispositions du DSA (Communiqué de presse de la Commission Européenne du 12 octobre 2023). Suivie d'une deuxième à Meta sur les mesures prises pour se conformer aux obligations liées à l’évaluation des risques et aux mesures d’atténuation notamment en ce qui concerne la diffusion et l’amplification de contenus illicites et de désinformation (Communiqué de presse de la Commission Européenne du 19 octobre 2023).

* * *

SYNTHESE

Le Règlement (UE) 2022/2065 du 19 octobre 2022 sur les services numériques ou "Digital Services Act" (DSA) concerne les plateformes en ligne (quel que soit leur lieu d’établissement) qui proposent des services intermédiaires dans l’UE (réseaux sociaux, moteurs de recherche, plateformes de partage de vidéos, site marchands, plateformes de voyage et d'hébergement, hébergeurs de contenu, fournisseurs de services de publicité en ligne, gestionnaires de noms de domaine, etc.).

Le DSA soumet les intermédiaires en ligne à de nouvelles obligations en matière de transparence, de traitement des réclamations et de protection de la vie privée, avec un dispositif de supervision et de sanctions. Pour faciliter la communication avec les régulateurs, les plateformes doivent avoir un représentant légal dans l’UE.

Ces obligations plus strictes visent à endiguer la diffusion de contenus et produits illégaux ou nuisibles., lutter contre la désinformation, réguler la publicité ciblée.

* * *

La stratégie numérique de l'Union Européenne

Les développements de la stratégie numérique de l'Union Européenne sont d'intérêt pour Monaco dont la législation, le cas opportun, peut s'inscrire "dans la droite ligne des travaux menés au niveau européen" (Exposé des motifs de la proposition de loi n° 255 portant modification de diverses dispositions en matière numérique, adoptée le 7 décembre 2022).

Ainsi par exemple, l'introduction dans le droit monégasque du "service (de confiance) d'intermédiation de données" (Loi n° 1.528 du 7 juillet 2022 et proposition de loi n° 555 précitée) s'inscrit dans la mouvance du Règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (DGA) applicable depuis le 24 septembre 2023, dont l'objet est d'établir un équilibre entre la promotion de l'économie des données et la protection des droits fondamentaux des citoyens européens.

Outre le DGA, le "paquet législatif" numérique de l'UE comprend :

• le Règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique (DMA) applicable depuis le 2 mai 2023 (sauf exceptions), dont l'objet est de lutter contre les pratiques anticoncurrentielles des géants de le technologie et du Web désignés par la Commission européenne (en particulier les GAFAM : Google, Apple, Facebook, Amazon et Microsoft) et leur quasi-monopole sur le marché intérieur de l'UE.
• le Règlement (UE) 2022/2065 du 19 octobre 2022 sur les services numériques (DSA) objet de la présente publication, applicable de manière anticipée depuis le 25 août 2023 aux fournisseurs de très grandes plateformes en ligne et très grands moteurs de recherche en ligne (comptant plus de 45 millions d'utilisateurs dans l'UE par mois) qui ont été désignés par la Commission européenne le 25 avril 2023, puis à compter du 17 février 2024, aux autres fournisseurs concernés ;
• la future législation sur l'intelligence artificielle (IA) qui vise à "garantir la sécurité juridique pour faciliter les investissements et l’innovation dans le domaine de l’IA", "renforcer la gouvernance et l’application effective de la législation existante en matière de droits fondamentaux et des exigences de sécurité applicables aux systèmes d’IA".

* * *

Les points clefs du "Digital Services Act" (DSA)

L'objet du DSA

L'objectif principal du DSA est de garantir un environnement en ligne sûr et transparent pour les utilisateurs, tout en favorisant l'innovation et la concurrence sur le marché numérique de l'UE. Ses règles visent ainsi à :

• protéger plus efficacement les droits fondamentaux des consommateurs de l'UE ;
• définir des responsabilités claires pour les plateformes en ligne et les réseaux sociaux ;
• traiter les contenus et produits illégaux, les discours haineux et la désinformation ;
• assurer une plus grande transparence grâce à l’amélioration de la surveillance ;
• encourager l’innovation, la croissance et la compétitivité sur le marché intérieur de l’UE.

Le champ d'application du DSA

Le DSA s'applique aux fournisseurs de services intermédiaires en ligne qui mettent en relation des utilisateurs en ligne avec des biens, des services ou du contenu (comme les fournisseurs d’accès à Internet, les réseaux sociaux, les plateformes de partage de contenu, les plateformes de voyage et d’hébergement en ligne, les services d’hébergement tels que l’informatique en nuage (Cloud) et les services d’hébergement web,, les marchés en ligne, les boutiques d’applications, ou encore les plateformes d’économie collaborative), quel que soit leur lieu d’établissement ou leur situation géographique, dans la mesure où ils proposent leurs services dans l’UE, pour autant qu’un lien étroit avec l’UE soit avéré.

Un tel lien étroit avec l’UE existe lorsque le fournisseur de services dispose d’un établissement dans l’UE ou, dans le cas contraire, lorsque le nombre de destinataires du service dans un ou plusieurs États membres est significatif au regard de leur population ou sur la base du ciblage des activités sur un ou plusieurs États membres.

Le ciblage peut se déduire par exemple de la possibilité de commander des produits ou des services, de la disponibilité d’une application dans la boutique d’applications nationale concernée, de la diffusion de publicités à l’échelle locale ou dans une langue utilisée dans un État membre de l'UE, ou de la gestion des relations avec la clientèle (comme la fourniture d’un service clientèle dans une langue utilisée généralement dans cet État membre).

Quelques exemples concrets de plateformes et services intermédiaires en ligne : X, YouTube, Facebook, WhatsApp, ,LinkedIn, Instagram, TikTok, Airbnb, Spotify, eBay, Amazon, Google, Netflix, Booking.com, TripAdvisor,, Hotels.com, Trivago, Kayak, Etsy, Yelp, SoundCloud, Vimeo, Meetup, Leboncoin, Gumtree, Twitch, Pinterest, WordPress.com, Dropbox, Pinterest, etc.

Les règles fixées par le DSA

Le DSA impose des règles spécifiques supplémentaires pour les très grandes plateformes en ligne (TGPL) utilisées par plus de 10 % des 450 millions de consommateurs de l’UE (compte tenu de leur rôle important en raison de leur portée, notamment en nombre de destinataires du service, s’agissant de faciliter le débat public, les transactions économiques, et la diffusion au public d’informations, d’opinions et d’idées, et d’influencer la manière dont les destinataires obtiennent et communiquent des informations en ligne), et les très gros moteurs de recherche en ligne (TGMRL) utilisés par plus de 10 % des 450 millions de consommateurs de l’UE (en raison de leur rôle essentiel dans la localisation et la possibilité de récupérer des informations en ligne).

→ Lutte contre les contenus illicites en ligne, y compris les biens et les services :

• Mieux informer les utilisateurs sur les publicités qu'ils voient en ligne ;
• Signalement facile des contenus ou produits illégaux, des discours haineux et de la désinformation ;
• Coopération des plateformes avec des "signaleurs de confiance" ;
• Obligations en matière de traçabilité des commerçants sur les places de marché en ligne ("marketplace").

→ Autonomisation des utilisateurs et de la société civile :

• Possibilité de contester les décisions de modération de contenu et de demander réparation, par le biais d’un mécanisme de règlement des litiges ou d’un recours judiciaire ;
• Accès des autorités et des chercheurs aux données clés générées par les TGPL afin d’évaluer les risques en ligne ;
• Transparence sur un ensemble de questions, comme les algorithmes utilisés pour recommander des contenus ou des produits.

→ Evaluation et atténuation des risques :

• Obligation pour les TGPL et les TGMRL d’empêcher toute utilisation abusive de leurs systèmes et de soumettre leurs systèmes de gestion des risques à des audits indépendants ;
• Systèmes permettant de réagir rapidement et efficacement aux crises affectant la sécurité publique ou la santé publique ;
• Garanties pour les enfants et les jeunes (par exemple en concevant leurs interfaces en ligne ou des parties de celles-ci avec le plus haut niveau de protection de la vie privée, de sécurité et de sûreté des mineurs par défaut, s’il y a lieu, ou en adoptant des normes de protection des mineurs, ou en participant à des codes de conduite pour la protection des mineurs) ;
• Limites à l’utilisation de données personnelles sensibles à des fins de publicité ciblée.

→ Renforcement de la supervision et de l’application de la législation de l'UE :

• pour tous les fournisseurs de services intermédiaires, avec un rôle important pour les coordinateurs indépendants des services numériques dans chaque État membre de l’UE et le Conseil européen des services numériques ;
• Pouvoirs de supervision supplémentaires de la Commission européenne en ce qui concerne les TGPL et les TGMRL (enquête sur le respect des obligations fixées par le DSA, demande d'information, inspections, mesures provisoires, mesures de contrôle, sanctions).

→ Mécanisme de réaction aux crises lorsque des circonstances extraordinaires entraînent une menace grave pour la sécurité publique ou la santé publique dans l’UE :

La Commission européenne peut exiger que les TGPL et les TGMRL :

• évaluent si leurs services contribuent de manière significative à cette menace grave, ou sont susceptibles de le faire, et de quelle manière ;
• identifient et appliquent des mesures efficaces et proportionnées d’atténuation des risques posées dans le DSA afin de prévenir, d’éliminer ou de limiter les contributions à cette menace grave ;
• présentent à la Commission européenne leur évaluation et leur réponse.

Les sanctions prévues par le DSA

→ Sanctions relevant des Etats membres

Les États membres déterminent le régime des sanctions applicables aux fournisseurs de services intermédiaires relevant de leur compétence, lesquelles doivent être effectives, proportionnées et dissuasives.

Le montant maximal des amendes qui peuvent être imposées pour non-respect d’une obligation établie par le DSA est de 6 % du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires concerné réalisé au cours de l’exercice précédent.

Pour la fourniture d’informations inexactes, incomplètes ou trompeuses, l’absence de réponse ou la non rectification d’informations inexactes, incomplètes ou trompeuses et le manquement à l’obligation de se soumettre à une inspection, le montant maximal des amendes est de 1 % des revenus ou du chiffre d’affaires mondial annuels du fournisseur de services intermédiaires concerné ou de la personne concernée de l’exercice précédent.

Le montant maximal d’une astreinte est 5 % des revenus ou du chiffre d’affaires mondial journaliers moyens du fournisseur de services intermédiaires concerné de l’exercice précédent, par jour, calculé à compter de la date spécifiée dans la décision concernée.

→ Sanctions relevant de la Commission Européenne

La Commission européenne peut infliger au fournisseur de la TGPL ou du TGMRL concerné des amendes jusqu’à concurrence de 6 % du chiffre d’affaires mondial annuel réalisé au cours de l’exercice précédent lorsqu’elle constate que ledit fournisseur, de propos délibéré ou par négligence :

• enfreint les dispositions pertinentes du DSA ;
• ne respecte pas une décision ordonnant des mesures provisoires ;
• ne respecte pas un engagement rendu contraignant par voie de décision.

La Commission européenne peut infliger au fournisseur de la TGPL ou du TGMRL concerné ou à toute autre personne physique ou morale agissant pour les besoins de leur activité commerciale, industrielle, artisanale ou libérale des amendes jusqu’à concurrence de 1 % des revenus ou du chiffre d’affaires mondial annuels de l’exercice précédent lorsque, de propos délibéré ou par négligence, ils :

• fournissent des informations inexactes, incomplètes ou trompeuses en réponse à une simple demande ou à une demande par voie de décision ;
• omettent de répondre à la demande d’informations par voie de décision dans le délai fixé ;
• omettent de rectifier, dans le délai fixé par la Commission, les informations inexactes, incomplètes ou trompeuses fournies par un membre du personnel, ou omettent ou refusent de fournir des informations complètes ;
• refusent de se soumettre à une inspection ;
• ne respectent pas les mesures de contrôle du respect du DSA adoptées par la Commission ;
• ne respectent pas les conditions d’accès au dossier de la Commission.

Pour déterminer le montant de l’amende, la Commission prend en considération la nature, la gravité, la durée et la répétition de l’infraction ainsi que, le cas échéant, le retard causé à la procédure.

Pour contraindre le fournisseur de la TGPL ou du TGMRL concerné ou toute autre personne physique ou morale précitée, la Commission européenne peut adopter une décision visant à leur infliger des astreintes jusqu’à concurrence de 5 % des revenus ou du chiffre d’affaires mondial journaliers moyens de l’exercice précédent par jour, calculées à compter de la date qu’elle fixe dans sa décision.

Enfin, la Commission européenne publie les décisions qu’elle adopte avec la mention du nom des parties intéressées et l’essentiel de la décision, y compris les sanctions imposées, tout en tenant compte des droits et intérêts légitimes du fournisseur de la TGPL ou du TGMRL concerné ou de la personne physique ou morale précitée, et de tout tiers, à ce que leurs informations confidentielles ne soient pas divulguées.

* * *

Le Digital Services Act (DSA) représente ainsi une étape importante dans la réglementation des services numériques qui tout comme le Règlement (UE) 2016/679 sur la protection des données personnelles (RGPD), pourrait pousser des Etats tiers à l'Union Européenne à s'aligner sur ses normes juridiques, favorisant ainsi la cohérence et la conformité internationale dans le domaine du numérique.

Le succès du DSA dépendra certainement de la manière dont il parviendra à maintenir l'équilibre entre d'un côté, la protection des droits des individus et de l'autre, la promotion de l'innovation et de la croissance économique du marché numérique.

* * *