Digital Service Act (DSA) : Quelles Obligations pour les Plateformes en Ligne ?

En France, en 2023, le secteur du e-commerce a enregistré un chiffre d’affaires de près de 160 milliards d'euros. Tous produits et services confondus, le panier moyen des consommateurs atteint aujourd’hui 68 euros, avec près 4 000 euros d’achat en ligne par an et par personne. Un record ! Quant aux réseaux sociaux, leur essor n’en finit plus. Au premier trimestre 2024, TikTok a affiché pas moins de 1,2 milliard d’utilisateurs actifs, contre 3,19 milliards pour Meta. Face à ce phénomène, les pouvoirs publics cherchent à mettre de l’ordre dans ce gigantesque marché. Objectif : accroître la responsabilité des différents acteurs et protéger les utilisateurs. Une mission en partie remplie depuis l’entrée en vigueur du règlement européen sur les services numériques « Digital Services Act » (DSA). Pour y voir plus clair, le Cabinet d’avocats Touati La Motte Rouge vous propose une analyse complète sur les nouvelles obligations imposées aux plateformes en ligne.

Quelles sont les plateformes en ligne concernées par le DSA ?

La réponse est simple : elles le sont toutes. Le Règlement s’applique, en effet, à tous les fournisseurs offrant des services intermédiaires sur le marché européen, peu importe s’ils y sont établis ou non. Cela comprend :

• Les fournisseurs de services intermédiaires offrant des infrastructures de réseau dont les services de simple transport et de mise en cache : fournisseurs d’accès à Internet, bureaux d’enregistrement de noms de domaine, etc. ;
• Les hébergeurs qui se contentent de stocker du contenu : cloud comme AWS ou Microsoft Azure, les services d’hébergement de sites web comme Hubspot et Google Cloud Hosting ou encore les services de référencement payants comme Google Adwords ;
• Les plateformes en ligne telles que les places de marché, les boutiques d’applications, les forums de discussion et les réseaux sociaux ;
• Les fournisseurs de plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels (e-commerce) ;
• Les plateformes de voyage et d'hébergement en ligne (AirBnB ou Abritel) ;
• Les moteurs de recherche (Google, Bing, etc).

En revanche, ces différents acteurs ne sont pas tous soumis aux mêmes obligations. Le texte a pour objectif de responsabiliser les plateformes et les marketplaces, de manière proportionnée, en fonction de leur taille et de leur impact sur l’économie et la société. Il est donc structuré sous forme pyramidale. En clair, plus l’entreprise est influente, plus ses obligations sont nombreuses.

Les très grandes plateformes (ainsi que les très grands moteurs de recherche en ligne), comptant plus de 45 millions d'utilisateurs actifs, sont donc soumises aux obligations les plus strictes.

La Commission européenne a établi une liste de ces fournisseurs. Voici les entreprises actuellement visées :

• AliExpress
• Amazon
• Apple
• Bing
• Booking
• Meta (anciennement Facebook)
• Alphabet avec Google (Maps, Google Play, Google Search, Google Shopping)
• Microsoft
• Instagram
• LinkedIn
• Pinterest
• Snapchat
• TikTok
• Wikipedia
• X (anciennement Twitter)
• YouTube
• Zalando

L’Union européenne a récemment ajouté à cette liste trois plateformes de contenus pour adultes, Pornhub, Stripchat et XVideos.

A contrario, les micro et petites plateformes sont exemptées d’un certain nombre d’obligations (article 19). Il s’agit des entreprises de moins de 50 salariés et ayant un chiffre d'affaires annuel inférieur à 10 millions d'euros.

Bon à savoir : pour les très grandes plateformes (et moteurs de recherche), le DSA est entré en vigueur le 25 août 2023. Pour les autres acteurs, les obligations s’appliquent depuis le 17 février 2024.

Les obligations imposées par le DSA à tous les fournisseurs de services intermédiaires

Quelle que soit leur envergure ou leur secteur d'activité, tous les fournisseurs de services intermédiaires, y compris les plateformes en ligne, doivent respecter les obligations suivantes établies par le DSA.

Lutter contre les contenus illicites

Les fournisseurs de services intermédiaires doivent répondre dans les meilleurs délais :

• Aux injonctions des autorités concernant un contenu illicite : il peut s’agir, par exemple, d’une demande de suppression d’une publication proposant un produit contrefait à la vente sur un réseau social ou une plateforme e-commerce.
• Aux injonctions d’informations émises par une autorité judiciaire ou administrative concernant un utilisateur de leur service.

Désigner un point de contact et un représentant local

Tous les fournisseurs de services intermédiaires, y compris les plateformes en ligne, ont l’obligation de désigner un point de contact unique afin de faciliter les échanges avec le destinataire du service et les autorités (Commission européenne, Comité européen des services numériques, Arcom, etc.).

Si le fournisseur de services est établi hors de l’Union européenne, il doit impérativement désigner un représentant local.

Mettre ses conditions générales d’utilisation en conformité avec le DSA

En parallèle, les conditions générales d’utilisation du service proposé doivent préciser de façon “claire, simple, intelligible, aisément abordable et dépourvu d’ambiguïté” (article 14):

• Les restrictions d’utilisation du service ;
• La politique de modération mise en place ;
• Les moyens et outils utilisés pour prendre une décision de retrait ou de maintien (recours aux algorithmes, intervention humaine, etc.) ;
• Le règlement intérieur du système interne de traitement des réclamations.

Les utilisateurs devront être informés de toute modification majeure. Lorsque le service s’adresse aux mineurs (TikTok, par exemple), les explications doivent être simples et accessibles.

Rédiger des rapports de transparence

L’article 15 du règlement impose également l’établissement, une fois par an, de rapports de transparence concernant leurs activités de modération des contenus. Ils doivent notamment présenter :

• Le nombre d’injonctions, de notifications et de réclamations reçues des autorités ;
• Les délais de traitement et de retrait (le cas échéant) ;
• Les mesures mises en place ;
• Les objectifs poursuivis ;
• Le taux d’erreur ;
• Etc.

Les obligations applicables aux hébergeurs et aux plateformes en ligne

Tous les hébergeurs, y compris les plateformes en ligne, sont soumis à des obligations supplémentaires. Leur taille et leur impact sur le marché n’entrent pas en considération.

La mise en place de mécanismes de notification

L’objectif principal du DSA est de limiter la diffusion de contenus illicites (incitations à la haine, harcèlement, pédopornographie, apologie du terrorisme, etc.) et la vente en ligne de produits illégaux (contrefaits, par exemple). À cet égard, les hébergeurs et les plateformes en ligne ont un rôle clé à jouer. Face à des moyens judiciaires limités, la tendance globale est à la responsabilisation des plateformes, en leur assignant une vraie mission de « gendarmes » du web.

Le législateur européen impose donc à ces deux types de prestataires de mettre à disposition des utilisateurs un mécanisme de notification en ligne pour signaler un contenu considéré comme illicite (article 16). Cette démarche doit être gratuite, facile d'accès et simple à utiliser.

L’intermédiaire doit ensuite peser le pour et le contre et décider ou non de retirer le contenu concerné. Cette appréciation doit se faire dans le respect des droits fondamentaux des utilisateurs du service. Là encore, et en pratique, il n’est pas toujours simple de se positionner et d’arbitrer en qualité de plateforme et les risques de responsabilité sont accrus.

L’exposé des motifs pour certaines décisions

Si le contenu est illicite ou contraire aux conditions générales d’utilisation du services, la plateforme doit communiquer aux utilisateurs concernés un certain nombre d’informations et notamment (article 17) :

• Les motifs invoqués ;
• Le fondement juridique ou les clauses contractuelles ayant conduit à la décision, accompagné d’explications ;
• Les moyens de recours.

La notification d’infractions pénales

Enfin, si le fournisseur soupçonne une infraction pénale relevant d’une menace pour la vie ou la sécurité des personnes, il doit transmettre l’information aux autorités judiciaires (article 18).

Bon à savoir : le régime de responsabilité issue de la directive e-commerce et la fameuse distinction hébergeur/éditeur restent inchangés

Les hébergeurs ne sont responsables que lorsqu’ils ne retirent pas les contenus après avoir été dûment informés de leur caractère illicite. Le DSA ne prévoit aucune obligation générale de surveillance. Le Règlement précise en effet que “les fournisseurs de services intermédiaires ne sont soumis à aucune obligation générale de surveiller les informations qu’ils transmettent ou stockent ou de rechercher activement des faits ou des circonstances révélant des activités illégales”. En revanche, le texte opère un changement majeur en renversant la responsabilité du caractère complet de la notification à la charge de l’hébergeur (notice and Take down). Auparavant, il revenait à l’utilisateur de veiller à indiquer dans sa notification à l'hébergeur l’ensemble des mentions obligatoires. Cette charge revient cette fois au fournisseur, qui doit donc prévoir une notice conforme au DSA.

Les obligations applicables aux plateformes en ligne uniquement

Cette fois, le DSA s’adresse exclusivement aux opérateurs de plateformes en ligne, et notamment aux marketplaces, aux boutiques d'applications, aux forums et aux réseaux sociaux. Seules les entités d’envergure sont visées par ces obligations. Conformément à l'article 19, les micro-entreprises et les petites entreprises sont exemptées.

Mettre en place un système interne de traitement des réclamations

Outre les obligations précédentes, le Règlement DSA impose aux plateformes en ligne la mise en place d’un système gratuit de traitement interne des réclamations des décisions déclarant un contenu illicite (article 20). Ces réclamations devront être traitées "en temps opportun, de manière non discriminatoire, diligente et non arbitraire”.

La plateforme doit informer l'utilisateur de sa décision. Cette dernière doit indiquer l’organe de règlement extrajudiciaire des litiges (article 21).

💡En France, les utilisateurs peuvent saisir l’Arcom.

Enfin, le DSA prévoit la création de signaleurs de confiance (article 22). Les réclamations de ces entités (dont le statut est attribué par l’Arcom en France) doivent être tranchées en priorité par les plateformes en ligne.

Bon à savoir : l’article 23 du DSA donne la possibilité aux plateformes en ligne de suspendre, pour une période raisonnable et après avertissement, le compte des utilisateurs qui fourniraient fréquemment des contenus illicites ou abuseraient des systèmes de notification et de réclamations. À cet égard, les fournisseurs publient, tous les 6 mois, des rapports détaillés concernant le nombre de litiges traités de manière extrajudiciaire et le nombre de suspensions.

Prendre des mesures de lutte et de protection contre les utilisations abusives

Le DSA prévoit différentes obligations visant à promouvoir la transparence et à protéger les utilisateurs. Le texte interdit notamment aux plateformes en ligne :

• Les interfaces truquées, aussi appelées dark patterns, conçues pour manipuler l'utilisateur afin d’influencer son choix ;
• Les demandes répétées de choix déjà effectués ;
• La publicité ciblée reposant sur du profilage et l’utilisation de données sensibles (la santé ou l'orientation sexuelle de l’utilisateur, par exemple) ;
• La publicité ciblée à destination des utilisateurs mineurs ;
• La mise en place de procédure de désinscription plus complexe que pour l’inscription.
  

En parallèle, les plateformes doivent faire preuve de transparence. Elles doivent ainsi assurer une information claire et précise concernant les modalités de personnalisation des contenus via leurs systèmes de recommandation. De la même manière, les fournisseurs ont l’obligation d’informer les utilisateurs lorsqu’une information constitue une publicité. Ils mentionnent ainsi :

• L’identité de la personne à l’origine de la publicité ;
• L’identité de la personne ayant payé la publicité (le cas échéant) ;
• Toutes les informations utiles à l’utilisateur.

Bon à savoir : en France, le législateur est intervenu pour encadrer les pratiques des influenceurs et limiter les dérives. La loi du 9 juin 2023 impose notamment une obligation de transparence en matière de contenu promotionnel.

Les obligations du DSA applicables aux plateformes e-commerce

Les plateformes en ligne permettant aux consommateurs de conclure des contrats avec des professionnels (Amazon, par exemple) sont soumises à des obligations supplémentaires. Ces dernières concernent toutefois uniquement les entreprises de taille moyenne, grandes ou très grandes. Les micro et petites plateformes ne sont pas concernées.

En vertu du DSA, les plateformes e-commerce doivent donc assurer :

• La traçabilité des professionnels (article 30) proposant des produits et des services à la vente sur les plateformes ;
• La conformité dès la conception (article 31) : l’interface en ligne doit permettre aux professionnels de respecter leurs obligations en matière d’informations précontractuelles, de conformité et d’informations sur la sécurité des produits ;
• Le droit à l’information (article 32) des consommateurs ayant acheté un produit ou un service illégal : la plateforme doit transmettre l’identité du vendeur et les moyens de recours. Cette obligation est limitée aux achats effectués dans les 6 mois précédant l’information du fournisseur quant à l’illégalité du produit ou du service.

Bon à savoir : il existe également des obligations en matière environnementale pour les plateformes e-commerce. Pour en savoir plus, lisez l’article rédigé par TLMR.

Les obligations imposées aux très grandes plateformes en ligne par le DSA

Le Règlement européen prévoit enfin une série d’obligations à charge uniquement des très grandes plateformes en ligne (et des très grands moteurs de recherche). Comme nous l’avons vu, ces entreprises sont inscrites sur une liste tenue par la Commission européenne. Elle comprend tous les fournisseurs dont les services sont utilisés par plus de 10 % des 450 millions de consommateurs européens. L’objectif du texte est de tenir compte de l’impact majeur de ces plateformes sur la société.

Évaluation et atténuation des risques

Première obligation : tous les ans, les très grandes plateformes (comme les très grands moteurs de recherche) doivent évaluer les risques systémiques résultant de leur fonctionnement, de leurs services et de leur utilisation (article 26). Il s’agit, par exemple, d’observer leur impact sur la liberté d’expression, la protection des données ou le pluralisme des médias. Les plateformes doivent également estimer l’effet négatif réel ou prévisible sur :

• Le discours civique ;
• Les processus électoraux ;
• La sécurité publique ;
• Les violences sexistes ;
• La santé mentale des utilisateurs ;
• Etc.

Cette évaluation doit conduire à l’instauration de mesures visant à réduire ces risques. Cela peut passer par :

• La modification de leur processus de modération des contenus ;
• La modification de leurs conditions générales d’utilisation ;
• L’adaptation de leurs systèmes algorithmiques ;
• L’adoption de mesures de sensibilisation ;
• La collaboration avec les signaleurs de confiance ;
• Etc.

Les résultats des évaluations des risques, des mesures mises en place et des audits externes doivent faire l’objet de rapports de transparence.

Bon à savoir : les conditions générales d’utilisation des très grandes plateformes en ligne doivent être traduites dans les langues officielles de tous les États membres dans lesquels elles proposent leurs services. Ce document doit également préciser les critères utilisés dans le cadre de leur système de recommandation de contenus.

Une implication dans la gestion de crise

Guerre en Ukraine, crise du Covid-19, attentats, les très grandes plateformes en ligne jouent bien souvent un rôle clé en cas d’événement imprévisible et exceptionnel.

Le législateur européen a donc souhaité intégrer ces acteurs du numérique dans la gestion des crises graves. En cas de menace pour la sécurité publique ou la santé publique, la Commission européenne peut ainsi leur demander :

• D’évaluer l’impact de leurs services sur la menace ;
• De mettre en place des mesures “spécifiques, efficaces et proportionnées” ;
• D’établir des rapports réguliers sur les deux premiers points.

Les autres obligations renforcées des très grandes plateformes en ligne

Le DSA prévoit toute une série d’obligations additionnelles à la charge des très grandes plateformes. On retrouve notamment :

• La mise en place d’un registre des publicités contenant toutes les informations relatives à l’identité de la personne à l’origine de la publicité, aux financements, aux groupes de consommateurs visés, au nombre d’utilisateurs atteints, etc. ;
• L’accès aux données par les autorités afin de vérifier la conformité de la plateforme avec le Règlement ;
• La création d’une fonction de contrôle de conformité, indépendante des fonctions opérationnelles : l’article 28 du DSA prévoit la mise en place d’audits externes visant à contrôler leur niveau de conformité. Pour cela, les plateformes ont l’obligation de nommer un délégué chargé de faire le lien avec les autorités compétentes (article 32) ;
• La publication des rapports prévus par le Règlement : ils doivent contenir un certain nombre d’informations additionnelles comme le prévoit l’article 42 ;
• Le paiement d’une redevance de surveillance annuelle (celle-ci ne peut pas excéder 0,05 % du résultat net mondial annuel de l’exercice précédent de l’entreprise concernée).

Quelles sont les sanctions en cas de non-respect du DSA ?

Les petites et moyennes plateformes sont contrôlées par les États membres. En France, cette mission a été confiée à l’Arcom. Chaque législateur est libre de déterminer le montant de l’amende infligée en cas de non-respect du DSA. Celle-ci ne doit toutefois pas excéder 6 % du revenu ou du chiffre d’affaires annuel du fournisseur (ou 1 % en cas d’informations incorrectes ou de refus d’investigation sur place).

Des astreintes peuvent également être prononcées. Elles ne peuvent pas dépasser 5 % du chiffre d’affaires journalier de l’entreprise.

La Commission européenne se charge elle-même du contrôle des très grandes plateformes en ligne. Elle peut donc décider de leur infliger des amendes d’un montant équivalent à 6 % de leur CA annuel ou 1 % pour certaines infractions (informations erronées, refus d'investigation, etc.). Elle peut également interdire leur service sur le territoire européen en cas d’infractions graves et répétées.

Le 18 décembre 2023, la Commission européenne a lancé une enquête contre X (anciennement connu sous le nom de Twitter), lui reprochant de ne pas satisfaire aux exigences de modération et de contribuer à la propagation de fausses informations et de contenus illégaux. Depuis le 19 février 2024, TikTok est également dans le viseur de l'UE pour des violations relatives à la protection des mineurs et à son manque de transparence. Le réseau social est spécifiquement critiqué pour ne pas prendre les mesures nécessaires afin de réduire les risques d'addiction et la diffusion de contenus préjudiciables. Ces investigations pourraient s'étendre sur plusieurs années. Des dossiers qu’il faudra, sans aucun doute, suivre de près.

En attendant, pour assurer votre mise en conformité avec le DSA, contactez sans tarder le Cabinet d’Avocats Touati La Motte Rouge. Nos avocats experts en droit des plateformes et du numérique vous guideront dans la mise en place des différentes mesures qui s’imposent dorénavant à votre plateforme en ligne ou, si vous êtes utilisateur, en cas de litige avec ces dernières.