par Florence G’sell
Le 15 décembre, la Commission Européenne a rendu publiques deux propositions de Règlement destinées à transformer significativement le cadre législatif applicable aux plateformes. Ce nouveau paquet législatif était attendu de longue date : la Présidente de la Commission l’avait, en effet, annoncé dès sa prise de fonction (Ursula von der Leyden, Political Guidelines for 2019-2024, 2019) et la Commission en avait fait l’annonce officielle lors de la présentation de sa stratégie pour le numérique en février dernier (Commission européenne, « Shaping Europe’s Digital Future » February 19, 2020). En juin, la Commission a officiellement annoncé l’adoption prochaine d’un Digital Services Act. Une consultation publique, qui s’est achevée le 8 septembre, a porté sur plusieurs pistes envisagées : la révision des dispositions de la Directive E Commerce 2000/31/CE du 8 juin 2000, la création d’une nouvelle réglementation portant sur les entreprises contrôlant l’accès au marché (« gatekeepers »), et l’éventuelle adoption d’un nouvel instrument de droit de la concurrence.
Le principe même de l’adoption d’une nouvelle législation relative au numérique fait largement consensus en Europe tant les législations actuelles semblent inadaptées et insuffisantes face aux difficultés inédites suscitées par l’émergence de plateformes si puissantes qu’elles semblent concurrencer les Etats (v. F. G’sell, Qu’est-ce que la souveraineté numérique?). Or ce n’est pas seulement leur taille ou leur caractère transnational qui rend la question de la régulation des plateformes particulièrement aigüe mais aussi le particularisme des fonctions qu’elles assument et de leur modèle d’affaire. A l’heure où les citoyens s’informent et débattent en ligne, les fake news et des discours de haine, dont les effets sont démultipliés sur les plateformes, posent des difficultés inédites. Dans le même temps, un petit nombre d’entreprises technologiques bien identifiées bénéficient d’une situation de domination sur des marchés structurellement concentrés, ce qui explique pourquoi la Commission souhaite tout particulièrement encadrer l’activité des plateformes les plus puissantes.
Le paquet législatif annoncé se décline désormais en deux textes bien distincts : le Digital Services Act, qui actualise et complète les dispositions de la Directive E-Commerce en matière de régulation des contenus illicites et le Digital Markets Act qui impose des obligations strictes aux plateformes contrôlant l’accès aux marchés numériques (« gatekeepers »). Nous évoquerons ici le Digital Services Act et étudierons le Digital Markets Act dans un autre post de blog (v. F. G’sell, Une nouvelle réglementation imposée aux gatekeepers: le Digital Markets Act).
Le Règlement sur les services numériques (Digital Services Act) vise toutes les entreprises, quel que soit leur lieu d’établissement, qui offrent des services numériques aux personnes établies dans l’Union Européenne. Ces entreprises devront désigner un point de contact unique (art. 10) ou un représentant légal lorsqu’elles ne sont pas établies dans l’Union (art. 11), de manière à ce que les autorités nationales et européennes chargées de faire respecter les dispositions du Règlement disposent d’interlocuteurs désignés. Sur le fond, la proposition de Règlement reprend et précise le principe selon lequel les prestataires de services numériques ne sauraient être responsables des contenus illicites publiés ou transmis par des tiers (1), tout en assortissant cette immunité de nouvelles obligations relatives à la lutte contre les contenus et pratiques illicites ainsi qu’aux stratégies de modération (2). Le respect de ces obligations sera principalement contrôlé par les autorités des Etats-membres, même si la Commission aura compétence à l’égard des très grandes plateformes (3).
La proposition de Règlement prévoit l’abrogation des article 12 à 15 de la Directive E Commerce 2000/31/CE du 8 juin 2000, dont elle reprend les principes concernant l’immunité des prestataires de services de simple transport (article 3), de caching (article 4) et d’hébergement (article 5) du fait des contenus illicites qu’ils transmettent, stockent ou hébergent. En particulier, le texte rappelle que les hébergeurs ne sont pas responsables des informations qu’ils hébergent dès lors qu’ils n’ont pas connaissance de leur caractère illicite ou ont agi promptement pour les retirer ou rendre leur accès impossible lorsqu’ils en avaient connaissance (article 5). Est également repris le principe selon lequel ces prestataires ne sont pas tenus de procéder à une surveillance généralisée des contenus mis en ligne ou de réaliser des vérifications (article 7). La proposition de Règlement prend ici la peine de préciser que les hébergeurs prenant l’initiative de modérer les contenus ou de se livrer à des vérifications relatives aux informations qui y sont publiées n’en deviennent pas, pour autant, responsables (art. 6).
L’immunité reconnue aux entreprises technologiques est désormais assortie de nouvelles obligations destinées à renforcer la lutte contre les comportements illicites (i), à apporter des garanties aux utilisateurs des services numériques (ii) et à maîtriser les risques présentés par les très grandes plateformes (iii). Ces nouvelles obligations sont imposées de manière asymétrique, ce qui signifie qu’elles varient selon les caractéristiques des prestataires de services numériques considérés. A cette fin, le texte vise quatre grandes catégories d’acteurs: 1/ les services offrant une infrastructure de réseau (fournisseurs d’accès à Internet, bureaux d’enregistrement de noms de domaine), 2/ les services de stockage (dans le Cloud, sur le web), 3/ les plateformes en ligne mettant en relation des utilisateurs (places de marché, magasins d’applications, plateformes d’économie collaborative, médias sociaux) et 4/ les très grandes plateformes d’au moins 45 millions d’utilisateurs actifs mensuels dont on estime qu’elles présentent, du fait de leur taille, des risques systémiques (article 25).
Les nouvelles obligations imposées par la proposition de Règlement témoignent d’une nette évolution de la stratégie de la Commission dans la lutte contre les contenus illicites par rapport au simple “code de bonne conduite contre la désinformation” auquel les plateformes peuvent adhérer sur une base volontaire. Le texte impose à toutes les entreprises visées par le Règlement de coopérer avec les autorités compétentes. Elles devront donner suite, en justifiant des dispositions prises, à toute instruction des autorités judiciaires ou administratives nationales d’agir à l’encontre d’un contenu illicite (article 8). Elles devront également communiquer, à ces mêmes autorités, les informations relatives à un utilisateur qui pourront leur être réclamées conformément aux législations nationales ou européennes (art. 9). Par ailleurs, le texte impose aux prestataires des trois dernières catégories (services de stockage, plateformes de mise en relation, très grandes plateformes) de mettre en place des mécanismes accessibles permettant à leurs utilisateurs de signaler la présence de contenus qu’ils jugent illicites (article 14). Dans ce cadre, les plateformes des deux dernières catégories devront traiter en priorité les signalements provenant des « trusted flaggers », des « signaleurs de confiance » qui auront été désigné comme tels par le Coordinateur national des services numériques (art. 19). Une fois un contenu signalé, les prestataires visés engageront leur responsabilité s’ils n’agissent pas promptement pour retirer ce qui est illicite. Les plateformes devront, en outre, informer rapidement les autorités compétentes de la présence de tout contenu laissant suspecter la commission passée, présente ou future d’une infraction pénale grave mettant en jeu la vie ou la sécurité des personnes (article 21). Les utilisateurs publiant fréquemment des contenus illicites pourront faire l’objet d’un avertissement, puis voir leur compte suspendu pour une période raisonnable (art. 20(1)).
En sus d’organiser la lutte contre les informations illicites, la proposition de Règlement prévoit plusieurs dispositions destinées à garantir le respect du droit de l’Union, et notamment du droit de la consommation, par les utilisateurs professionnels des plateformes. C’est ainsi que l’article 5(3) introduit une limite très importante à l’immunité des prestataires de services numériques pour le cas où ceux-ci permettent la conclusion de contrats en ligne avec des consommateurs. Jusqu’à présent, le prestataire n’engageait sa propre responsabilité que lorsqu’il était avéré que l’utilisateur professionnel fautif agissait sous son autorité ou sous son contrôle (art. 14(2) Directive 2000/31/CE). Le texte prévoit désormais que la responsabilité du prestataire lui-même est engagée dès lors qu’un consommateur moyen et raisonnablement bien informé pouvait croire que l’information, le bien ou le service était proposé par le prestataire lui-même ou par un utilisateur agissant sous son autorité ou sous son contrôle. Ces dispositions viennent ici répondre aux discussions suscitées par la mise en cause, de plus en plus fréquente des plateformes de e-commerce, dans un contexte où certaines juridictions américaines ont qualifié Amazon de « vendeur » des produits vendus en ligne par des utilisateurs professionnels (v. F. G’sell, Amazon est-il distributeur des produits vendus par les tiers sur sa place de marché?). On relèvera toutefois que ces dispositions visent avant tout la protection des consommateurs : il ne s’agit pas, par exemple, de permettre à une entreprise victime de contrefaçon d’agir plus facilement contre une plateforme, comme dans la fameuse affaire Ebay (CJUE n°0312 juill.2011, aff. C-324/09, L’Oréal c/ Ebay) –où la responsabilité de la plateforme a été retenue- ou dans une affaire plus récente où la responsabilité d’Amazon a été écartée (CJUE n°39/20 2 April 2020, aff. C-567/18, Coty c/ Amazon). Dans tous les cas, les plateformes permettant la conclusion de contrats en ligne devront se procurer un certain nombre d’informations relatives à leurs utilisateurs professionnels (art. 22), s’assurer de leur fiabilité et concevoir leur interface de manière à assurer le respect du droit de la consommation en matière d’obligation pré-contractuelle d’information et d’information relative à la sécurité des produits (art. 22 bis).
Plusieurs dispositions de la proposition de Digital Services Act visent à apporter des garanties aux utilisateurs.
D’une part, les utilisateurs devront être pleinement informés des pratiques de leurs prestataires en matière de modération. Tous les prestataires visés par le Règlement devront faire preuve de transparence et préciser clairement, dans leurs conditions générales, les éventuelles restrictions pouvant affecter l’utilisation de leurs services. Le texte précise qu’ils devront agir de manière diligente, objective et proportionnée dans la mise en oeuvre des restrictions prévues (article 12). Ces prestataires -à l’exception des petites entreprises- devront, en outre, publier chaque année des rapports (article 13) présentant : 1/les injonctions reçues des autorités nationales ou européennes, notamment quant au retrait d’un contenu ou à la communication d’informations relative à un utilisateur, 2/ les signalements reçus et la suite qui leur a été donnée, 3/les actions de modération accomplies à l’initiative du prestataire et 4/ les plaintes reçues des utilisateurs concernant les pratiques de modération. Les plateformes devront fournir des éléments complémentaires relatifs aux litiges intervenus avec leurs utilisateurs, aux suspensions décidées durant l’année et à l’utilisation de traitements automatisés pour pratiquer la modération des contenus (art. 23).
D’autre part, les décisions de modération devront être motivées et pouvoir être contestées. Les prestataires de services d’hébergement et les plateformes en ligne devront communiquer les raisons les ayant amenées à supprimer ou désactiver l’accès à certains contenus (article 15). Les plateformes, à l’exception des petites entreprises (article 16), devront, en outre, mettre en place un système de contestation des décisions de retrait d’un contenu ou de suspension ou de résiliation du compte de l’utilisateur ou de son accès au service (article 17). Enfin, les plateformes devront permettre à leurs utilisateurs de porter leurs contestations devant un organisme de règlement alternatif des litiges certifié par le Coordinateur national des services numériques (article 18). Les utilisateurs indélicats ne pourront toutefois pas abuser des facultés de signalement et de contestation qui leur seront offertes. Les plateformes pourront décider, après un avertissement, de ne plus donner suite aux signalements provenant d’un utilisateur se livrant régulièrement à des signalements infondés (art. 20(2)). De même, les utilisateurs soulevant fréquemment des contestations infondées pourront se voir privés de cette faculté de contestation (art. 20 (1)).
Enfin, les pratiques commerciales des plateformes devront être transparentes. Les plateformes qui diffusent de la publicité en ligne devront s’assurer que les destinataires des messages publicitaires sont mis en mesure de comprendre que le message diffusé est une publicité, de connaître l’identité de la personne pour laquelle la publicité est diffusée, et d’obtenir une information éclairante sur les principaux paramètres utilisées pour déterminer les destinataires de la publicité considérée (art. 24). Les très grandes plateformes devront publier des informations précises sur les publicités qu’elles diffusent en ligne (art. 30). Elles devront également préciser, dans leurs conditions générales, les caractéristiques et les paramètres de leurs systèmes de recommandation et les manières dont les utilisateurs pourraient éventuellement les modifier (art. 29).
Les très grandes plateformes d’au moins 45 millions d’utilisateurs sont soumises par le texte à des obligations supplémentaires relativement lourdes compte-tenu des risques systémiques qu’elles engendrent (art. 25). Elles seront donc tenues de procéder à l’identification, l’analyse et l’évaluation de ces risques, notamment des risques provoqués par la diffusion de contenus illicites. Elles devront également envisager les effets négatifs du fonctionnement de leur plateforme sur les droits fondamentaux, et les effets réels ou possibles d’une manipulation intentionnelle de leurs services sur la protection de la santé publique, des mineurs, du débat public, du processus électoral et de la sécurité publique (article 26(1)). Elles devront tout particulièrement examiner la mesure dans laquelle leurs systèmes de modération, de recommandation, et de ciblage publicitaire peuvent avoir des conséquences sur les risques systémiques considérés (art. 26(2)). Elles devront, en considération de ces évaluations, prendre des mesures raisonnables et efficaces visant à atténuer les risques identifiés (article 27).
Par ailleurs, les très grandes plateformes devront désigner un “compliance officer” (art. 32). Elles feront l’objet, une fois par an, d’audits indépendants portant sur le respect des obligations prévues par le Règlement (article 28). Elles devront, à ce sujet, établir des rapports spécifiques qui seront communiqués aux autorités compétentes (art. 33).
La proposition de Règlement laisse aux instances étatiques le soin de contrôler le respect des obligations édictées par le texte. Les Etats membres devront donc désigner les autorités compétentes en la matière : parmi ces autorités, l’une tiendra lieu de Coordinateur national des services numériques, qui sera spécifiquement chargé de la bonne exécution du Règlement au niveau étatique (art. 38). Les Coordinateurs nationaux disposeront de pouvoirs d’enquête, de décision d’un certain nombre de mesures et de sanction (art. 41). Ils pourront également recevoir les plaintes émises par les utilisateurs des services concernés (art. 43). Les Coordinateurs nationaux se réuniront au sein du European Board for Digital Services qui constituera une instance consultative indépendante chargée d’épauler les Coordinateurs nationaux et la Commission.
Les sanctions applicables en cas de non-respect du Règlement seront prévues par les droits nationaux (art.42). Ces sanctions devront être effectives, proportionnées et dissuasives. Elles ne devront pas dépasser 6% du chiffre d’affaire annuel de l’entreprise sanctionnée. Pour certaines infractions (fourniture d’une information erronée ou incomplète, non rectification d’une information erronée ou incomplète, refus de se soumettre à une inspection), ce plafond sera porté à 1% du chiffre d’affaire annuel. Il sera possible d’infliger des amendes à payer sur une base périodique ; en ce cas, chaque mensualité ne pourra excéder 5% du chiffre d’affaire quotidien de l’entreprise.
Si la proposition de Règlement renvoie aux Etats-membres le soin de faire respecter les obligations qu’elle édicte, les instances européennes pourront intervenir à l’encontre des très grandes plateformes de plus de 45 millions d’utilisateurs. En ce cas, les Coordinateurs nationaux du lieu d’établissement des plateformes (ou du lieu d’établissement de leur représentant légal dans l’Union Européenne) resteront compétents, mais le European Board for Digital Services et la Commission auront la possibilité d’intervenir, le cas échéant à leur propre initiative. La Commission pourra intervenir directement, dans certains cas, afin de procéder à des investigations et des contrôles (art. 51 à 57). Les investigations pourront alors se conclure par une décision de non-conformité (art. 58) dans laquelle la Commission pourra prononcer une amende n’excédant pas 6% du chiffre d’affaire de l’exercice antérieur, voire 1% pour certaines infractions.
Au final, en ce qu’elle concerne l’ensemble des fournisseurs de services numériques, la proposition de Règlement ne constitue pas, ou pas seulement, l’instrument de lutte contre les GAFAM que l’on évoque régulièrement. Elle impose toutefois des obligations complémentaires et importantes aux grandes plateformes de plus de 45 millions d’utilisateurs, qui viendront s’ajouter à celles qui pèsent sur les gatekeepers au titre du Digital Markets Act. En cela, ces deux textes, qui complètent la proposition de Data Governance Act publiée le 25 novembre (v. F. G’sell, Vers le marché européen des données: le Data Governance Act), viennent bel et bien encadrer strictement les activités des grandes entreprises technologiques.
Florence G’sell est professeur agrégé de droit privé et co-titulaire de la Chaire Digital, Gouvernance et Souveraineté