Deux directives européennes, DSA et DMA, vont faire significativement évoluer le droit sur Internet. Il était temps de faire un point.
La Commission européenne a entrepris de modifier la directive e-commerce de 2000 pour tenir compte des nouveaux défis du numérique et tout particulièrement la lutte contre les contenus illicites (discours haineux, protection des mineurs, infox qui vise à influencer un processus législatif ou un vote…).
En novembre 2021, deux textes européens – le DSA pour les services numériques et le DMA pour le marché numérique – ont été adoptés par les ministres du numérique des 27, ouvrant la voie aux négociations entre la Commission, le Conseil et le Parlement pour trouver un texte de consensus, l’objectif étant d’arrêter un texte final commun d’ici mi-2022.
Le 14 décembre 2021 (Parlement UE, C.P., 14 déc. 2021), les députés européens ont adopté à leur tour une position sur le DSA.
En forme de synthèse, et en l’état des textes, quatre points retiennent plus particulièrement l’attention.
La volonté de viser largement les services en ligne
Sont ciblés les réseaux sociaux, les moteurs de recherche, les places de marché en ligne, les systèmes d’exploitation… Il est question d’intégrer également les assistants vocaux et les navigateurs.
Quant aux « contrôleurs d’accès » (gatekeepers) « qui ont une forte incidence sur le marché intérieur [et] qui constituent un point d’accès important des entreprises utilisatrices pour toucher leur clientèle », les critères de leur désignation ont été précisés : fournir un service dans au moins trois États membres et avoir réalisé un chiffre d’affaires annuel dans l’Union européenne supérieur ou égal à 6,5 milliards d’euros au cours des trois derniers exercices. Il s’agit également des services en ligne dont la capitalisation boursière moyenne ou la juste valeur marchande s’est élevée à au moins 65 milliards d’euros au cours du dernier exercice.
Le renforcement significatif des obligations à la charge des plateformes
Les obligations de transparence – par exemple, les mentions dans les CGU des mesures prises pour modérer les contenus, en précisant si elles relèvent d’un traitement algorithmique ou humain, la mise en place d’un mécanisme de notification des contenus illicites… s’enrichissent de contraintes nouvelles, en fonction des objectifs.
Autre exemple, pour lutter contre l’infox, il est prévu que les plateformes devront afficher de manière visible le nom du sponsor. Il leur est interdit d’utiliser des informations sensibles dans le ciblage pour les publicités politiques, sauf avec le consentement explicite des utilisateurs. Ces limitations couvrent les données relatives à la race, aux opinions politiques, aux croyances religieuses, à l’orientation sexuelle, à l’état de santé et à l’affiliation syndicale. L’interdiction ne s’applique pas aux syndicats ou aux organisations à caractère religieux ou politique spécifique qui pourront toujours s’adresser à leurs membres.
Ces obligations peuvent encore évoluer, le texte prévoyant que la commission pourra ajouter, modifier ou supprimer ultérieurement des éléments des obligations de transparence par le biais d’actes délégués.
Des obligations de traçabilité des entreprises clientes ont été rajoutées, notamment afin de lutter contre la contrefaçon (DSA, art. 22). A ce titre, tous les services en ligne devront notifier les soupçons d’infractions pénales graves.
La question de l’articulation de ces deux obligations nouvelles peut se poser au regard du principe selon lequel il n’y a aucune obligation de surveillance généralisée, ni aucune obligation de rechercher activement des faits ou des circonstances révélant des activités illicites.
Des obligations « ex-ante » – c’est à dire avant les agissements et le dommage produits – devraient pallier les insuffisances de notre droit français de la concurrence.
Au nombre de ces obligations, on notera l’interdiction de croiser les données personnelles des utilisateurs avec celles de ses autres services sans leur consentement ou encore l’interdiction d’imposer aux utilisateurs qu’ils s’abonnent ou s’enregistrent à un autre des services du contrôleur d’accès comme condition d’accès au service principal. Ou encore l’interdiction d’« empêcher ou (…) restreindre la possibilité pour les entreprises utilisatrices de faire part à toute autorité publique compétente de préoccupations à l’égard de toute pratique des contrôleurs d’accès » (DMA, art. 6).
Une redistribution des responsabilités
Rien ne change au regard du régime de responsabilité instauré par la directive sur le commerce électronique (directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur dite directive sur le commerce électronique,) et la loi de transposition pour la confiance dans l’économie numérique (Lcen 2004, art. 6).
Cependant, on relève des obligations proportionnelles à la taille de l’entreprise : les très grandes plateformes présentent un risque « systémique » pour l’écosystème numérique. Les obligations des FAI sont quant à elles transférées aux plateformes (obligation de supprimer les contenus illégaux).
Il y a donc comme une coexistence ou la superposition de régimes de responsabilités.
Des pouvoirs de surveillance et de contrôle renforcés
Les dispositifs DSA et DMA se veulent résolument dissuasif, pouvant aller jusqu’au démantèlement lorsqu’il « ressort de l’enquête sur le marché qu’un contrôleur d’accès a systématiquement contrevenu » (DMA, art. 16).
Au chapitre des sanctions, celles-ci peuvent atteindre 6 % (DSA) et 10 % (DMA) des revenus ou du chiffre d’affaires annuel du prestataire concerné.
Si la Commission européenne est la seule instance habilitée à faire appliquer le règlement, le dernier texte précise que les États membres peuvent habiliter les autorités nationales de concurrence à ouvrir des enquêtes sur d’éventuelles infractions et à transmettre leurs conclusions à la Commission.
Les députés européens prévoient également que les bénéficiaires de ces services et les organisations qui les représentent pourront demander réparation du préjudice résultant du non-respect par les plateformes de leurs obligations.
On notera que la démarche d’harmonisation ne permet plus aux États membres de légiférer spécifiquement sur ces plateformes et les autorités nationales ne peuvent prendre « aucune décision qui irait à l’encontre d’une décision adoptée par la Commission » en application du DMA (DMA, art. 1er, § 5 et § 7).