Tout comprendre du Digital Services Act (DSA)

La Commission européenne a publié, le 15 décembre, les projets de Règlements « Digital Services Act » (DSA) et « Digital Market Act » (DMA), ayant vocation à réguler l’espace numérique. Leur adoption ne saurait intervenir avant le début de l’année 2022. L’objectif commun aux deux Règlements est de permettre aux utilisateurs d'avoir accès à un large choix de produits et services en ligne, en toute sécurité et que les entreprises actives en Europe puissent se livrer à la concurrence en ligne de manière libre et loyale (Comm. UE, communiqué IP/20/2347, 15 déc. 2020 ).

Le DMA (loi sur les marchés numériques) a vocation à établir des conditions de concurrence équitables pour favoriser l’innovation, la croissance et la compétitivité, tant dans le marché unique européen qu’à l’échelle mondiale (découvrez notre article dédié au DMA ici). 

Le DSA (loi sur les services numériques) a pour objectif principal créer un espace numérique plus sûr au sein duquel les droits fondamentaux de tous les utilisateurs de services numériques sont protégés. Le cœur du DSA porte sur les règles de responsabilité des fournisseurs de services ainsi que leur obligation de transparence. Des obligations spécifiques sont par ailleurs créées pour les très grandes plateformes numériques.

Le DSA s'appliquera à tous les services intermédiaires fournis aux internautes ayant leur lieu d'établissement ou de résidence dans l'Union. Le lieu d'établissement du prestataire lui-même est donc sans conséquence sur l’applicabilité du Règlement. Le DSA a vocation à s’appliquer aux fournisseurs de services intermédiaires, et notamment de services intermédiaires consistant en des services dits de «simple transport», de «mise en cache» et d’«hébergement», compte tenu de la croissance exponentielle du recours à ces services.

L’article 2 du Règlement défini ces services intermédiaires de la manière qui suit :

• un service de «simple transport» consistant à transmettre, sur un réseau de communication, des informations fournies par un bénéficiaire du service ou à fournir un accès au réseau de communication;
• un service de «mise en cache» consistant à transmettre, sur un réseau de communication, des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information dans le seul but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires ;
• un service d’«hébergement» consistant à stocker des informations fournies par un bénéficiaire du service à la demande de ce dernier.

L’article 3 du DSA prévoit que le fournisseur de service de simple transport n’est pas responsable des activités des utilisateurs. Néanmoins,  cette absence de responsabilité est conditionnée par une série de conditions négatives.

Le fournisseur :

• ne devra pas avoir initié cette transmission ;
• ne devra pas avoir sélectionné son destinataire ;
• ne sélectionnera ni ne modifiera les informations faisant l'objet de la transmission.

Le prestataire ne sera pas tenu responsable à l’occasion du stockage automatique, intermédiaire et temporaire d’une information illicite. Là encore, plusieurs conditions cumulatives sont nécessaires pour ôter toute responsabilité des services de cache.

Le fournisseur :

• ne devra pas modifier l’information ;
• devra se conformer aux conditions d’accès à l’information ;
• devra se conformer aux règles concernant la mise à jour de l’information, indiquées d’une manière largement reconnue et utilisées par les entreprises ;
• ne devra pas entraver l’utilisation licite de la technologie, largement reconnue et utilisée par les entreprises, dans le but d’obtenir des données sur l’utilisation de l’information ;
• devra agir promptement pour retirer l’information qu’il a stockée ou pour en rendre l’accès impossible dès qu’il a effectivement connaissance du fait que l’information à l’origine de la transmission a été retirée du réseau ou que l’accès à l’information a été rendu impossible, ou du fait qu’une juridiction ou une autorité administrative a ordonné de retirer l’information ou d’en rendre l’accès impossible.

A l’instar de ce qui était d’ores et déjà prévu par la directive de 2000 relative au commerce électronique, lorsqu’un hébergeur stocke des données d’un utilisateur, ce prestataire n’est pas responsable de leur illicéité éventuelle à condition qu’il n'ait pas effectivement connaissance de l'activité ou de l'information illicite ou, dès le moment où il en prend connaissance, il les retire promptement ou en rend l'accès impossible.

La nouveauté introduite par le DSA est relative à l’inapplicabilité du régime de responsabilité atténué en droit de la consommation. Le consommateur pourra, dans certaines hypothèses, se retourner contre l’intermédiaire, lequel ne bénéficiera pas de la protection du statut d’hébergeur.

• Point de contact :Les fournisseurs de services intermédiaires devront établir un point de contact unique en Europe, permettant d’établir une communication directe avec les autorités des États membres et les institutions européennes.

• Représentants légaux: Les fournisseurs de services intermédiaires qui n’ont pas d’établissement au sein de l’Union, mais qui proposent des services à l’intérieur de l’Union doivent désigner un représentant légal dans un des États membres dans lequel ils proposent ses services. Ce représentant légal est chargé de répondre aux questions des autorités concernant la bonne exécution du Règlement.

• Conditions générales: Le DSA exige que les conditions de chaque fournisseur soient facilement accessibles et établies dans un langage clair dans leurs CGU.

• Transparence: L’obligation de transparence concerne tous les fournisseurs de services intermédiaires, exceptées les micros ou petites entreprises[1]. Cette obligation se traduit par la publication d’un rapport annuel, clair, facilement compréhensible et détaillé, sur les éventuelles activités de modération de contenu auxquels le fournisseur s’est livré au cours de la période concernée.

• Mécanisme de notification et d’action: Les hébergeurs devront mettre en place des mécanismes faciles d’accès et d’utilisation, permettant à quiconque de signaler l’existence d’un contenu qu’il considère comme illicite. Les notifications seront reçues exclusivement par voie électronique.

Plusieurs éléments devront être soumis au moment de la notification afin de permettre à l’opérateur suffisamment diligent de prendre la décision :

- Les raisons pour lesquelles le notifiant considère que le contenu est illicite ;

- L’URL du contenu litigieux ;

- Le nom et une adresse de courrier électronique de l’individu ou de l’entité soumettant la notification (sauf en matière d’abus sexuel, d’exploitation sexuelle et de pédopornographie) ;

- Une déclaration de bonne foi du notifiant.

• Exposé des motifs: Lorsqu’un fournisseur de services d’hébergement décide de retirer des informations spécifiques fournies par les bénéficiaires du service ou d’empêcher l’accès à celles-ci, le bénéficiaire doit en être informé au plus tard au moment du retrait ou du blocage d’accès.

Aussi, un exposé clair et spécifique des motifs d’une telle décision doit être fourni, lequel comprend a minima les informations suivantes :

- l’indication que la décision implique soit le retrait des informations, soit le blocage de l’accès à celles-ci et, le territoire concerné par le blocage ;

- les faits et circonstances sur lesquels s’appuie la décision ;

- des informations relatives à l’utilisation de moyens automatisés pour prendre la décision ;

- lorsque la décision concerne l’illicéité d’un contenu, une référence au fondement juridique sous-jacent et des explications des motifs pour lesquels ces informations sont considérées comme des contenus illicites sur cette base;

- lorsque la décision se fonde sur l’incompatibilité des informations avec les conditions générales du fournisseur, une référence aux clauses contractuelles sous-jacentes et des explications des raisons pour lesquels ces informations sont considérées comme incompatibles avec ces clauses ;

- des informations relatives aux voies de recours à la disposition du bénéficiaire du service en ce qui concerne cette décision, notamment par l’intermédiaire de mécanismes internes de traitement des réclamations, du règlement extrajudiciaire des litiges et d’un recours juridictionnel.

Les microentreprises et petites entreprises ne sont pas visées par les obligations qui suivent.

• Système interne de traitement des réclamations: Les plateformes en ligne doivent fournir aux bénéficiaires de ces services l’accès à un système interne de traitement des réclamations efficace, permettant d’introduire, par voie électronique et gratuitement, des réclamations contre les décisions suivantes :

-Le retrait des informations ou de rendre l’accès à celles-ci impossible ;

- La suspension ou la résiliation, entière ou partielle, de la fourniture du service aux bénéficiaires ;

- La suspension ou la résiliation du compte des bénéficiaires.

• Règlement extrajudiciaire des litiges: Le traitement des différends pourra s’effectuer par le biais d’un organisme externe, impartial et indépendant. L’organisme choisi sera certifié par le Coordinateur des services numériques de l'État membre compétent. Lorsque cet organisme tranche en faveur de l’internaute, celui-ci sera remboursé de l’intégralité des sommes engagées et autres dépenses. À défaut, ces sommes resteront à sa charge. La liste de ces organismes sera publiée sur un site, édité par la Commission européenne.

• Signaleurs de confiance: Des « signaleurs » de confiance verront leurs notifications traitées en priorité et sans délai. La liste des « signaleurs » sera là encore établie par le Coordinateur des services numériques de l’État membre concerné.

• Mesures de lutte et de protection contre les utilisations abusives: Le DSA impose aux plateformes de suspendre pendant une période raisonnable et après avertissement, les comptes ayant diffusé des contenus manifestement illicites.

• Notification des soupçons d’infraction pénale: Une obligation d‘alerte incombe aux plateformes, laquelle implique qu’en cas de connaissance d’une éventuelle infraction susceptible de mettre en danger la vie ou la sécurité des personnes, celle-ci devra en informer les autorités de l’Etat Membre concerné.

• Traçabilité des professionnels: Les plateformes en ligne qui permettent aux consommateurs de conclure des contrats avec des professionnels doivent s’assurer de leur identité et coordonnées (nom, adresse, numéro de téléphone et adresse de courrier électronique, copie de son document d'identification professionnel, les coordonnées bancaires du professionnel s’il est une personne physique, etc.). Lorsque ces renseignements sont incomplets, la plateforme devra suspendre les prestations en ligne. Par ailleurs, les plateformes devront mettre en place une interface en ligne afin de permettre aux professionnels de respecter leurs obligations en matière d’information précontractuelle ainsi que sur la sécurité des produits.

• Transparence de la publicité en ligne: Les plateformes en ligne qui affichent de la publicité sur leurs interfaces en ligne doivent veiller à ce que les bénéficiaires des services, pour chaque publicité délivrée, puissent :

- se rendre compte que les informations affichées sont de la publicité ;

- identifier la personne physique ou morale pour le compte de laquelle la publicité est affichée ;

- obtenir des informations utiles concernant les principaux paramètres utilisés pour déterminer le bénéficiaire auquel la publicité est présentée.