Digital Services Act : quelles nouvelles obligations pour les hébergeurs et plateformes en ligne ?

Fraude, arnaque, cyberharcèlement, revenge porn… la consommation de services numériques, exponentielle ces 15 dernières années, soulève de nombreuses problématiques liées au contenus diffusés chaque minute sur les plateformes d’hébergement telles que Youtube, Tik Tok, Instagram ou encore Twitch. Pour combattre ces dérives, L’Union Européenne vient de signer une réglementation sur les services numériques, le Digital Services Act, dont l’ambition est de créer un internet plus sûr pour les citoyens européens.

Dès les années 1990, face au contentieux croissant relatif à la publication de contenus illicites (contrefaçon, atteinte à la vie privée, injure, diffamation, etc.) et, en l’absence de régime adapté (principe de responsabilité de l’auteur ou de l’éditeur du contenu), la jurisprudence française s’est tout d’abord attelée à définir le régime de responsabilité des hébergeurs[1], puis le législateur européen est venu harmoniser les règles en la matière.

C’est ainsi que le statut de l’hébergeur, institué par la directive 2000/31/CE a été transposé en droit français par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (« LCEN »).

La LCEN prévoit un régime de responsabilité autonome applicable aux fournisseurs d’hébergement de contenus, qui, dès lors que ces derniers ne jouent pas de rôle actif à l’égard des contenus publiés par les destinataires de ces services, ne peuvent voir leur responsabilité engagée, à raison du caractère illicite de ces contenus, sauf s’ils en ont eu connaissance et n’ont pas retiré promptement lesdits contenus.

Au vu de l’évolution des usages des services de la société de l’information, des nouvelles technologies, et dans un souci d’harmonisation des législations nationales[2], les institutions européennes ont estimé nécessaire d’adapter la directive et de prévoir des obligations graduées suivant la taille et l’activité de ces acteurs intermédiaires de la société de l’information.

En effet, le considérant n° 1[3], relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE dite « Digital Service Act » ou « DSA » dispose que : « les services de la société de l’information et surtout les services intermédiaires sont devenus une composante importante de l’économie de l’Union et de la vie quotidienne des citoyens de l’Union. Vingt ans après l’adoption du cadre juridique existant applicable à ces services, établi par la directive 2000/31/CE du Parlement européen et du Conseil, des services et des modèles économiques nouveaux et innovants, tels que les réseaux sociaux et les places de marché en ligne, permettent aux utilisateurs professionnels et aux consommateurs de transmettre et d’accéder à l’information et d’effectuer des transactions de manière inédite. Une majorité de citoyens de l’Union utilise désormais ces services au quotidien. Toutefois, la transformation numérique et l’utilisation accrue de ces services ont également engendré de nouveaux risques et défis pour les différents destinataires des services concernés, pour les entreprises et pour la société dans son ensemble ».

L’objectif du règlement DSA, (qui est d’application directe dans les Etats membres, à la différence de la directive qui nécessite une loi de transposition afin d’être intégrée aux dispositions nationales), a donc pour objectif de responsabiliser davantage les plateformes et marketplaces, de manière proportionnée à leur taille et à leur impact sur le marché et sur nos sociétés. Le DSA est donc structuré de façon pyramidale, en prévoyant des obligations supplémentaires suivant les catégories d’acteurs, et ce, de façon croissante.

Nouveauté institutionnelle, le règlement pose également un cadre institutionnel de surveillance de l’application dudit règlement. Dans tous les pays de l'Union européenne, un « coordinateur des services numériques », autorité indépendante désignée par chaque État membre, sera mis en place. Dans plusieurs pays, le coordinateur national sera l'autorité des médias (qui correspond à l'Arcom en France)[4].

« Ces vingt-sept coordinateurs seront chargés de contrôler le respect du règlement DSA dans leur pays et de recevoir les plaintes à l'encontre des intermédiaires en ligne. Ils coopéreront au sein d'un « comité européen des services numériques » qui rendra des analyses, mènera des enquêtes conjointes dans plusieurs pays et émettra des recommandations sur l'application de la nouvelle réglementation. Ce comité devra notamment recommander la Commission sur l'activation du mécanisme de réponse aux crises.

Les très grandes plateformes en ligne et les très grands moteurs de recherche seront surveillés par la Commission européenne. Pour financer cette surveillance, des « frais de supervision » leur seront demandés, dans la limite de 0,05% de leur chiffre d’affaires annuel mondial. Elles devront désigner un ou plusieurs responsables de la conformité au règlement.

En cas de non-respect du DSA, les coordinateurs des services numériques et la Commission pourront prononcer des astreintes et des sanctions. Pour les très grandes plateformes et les très grands moteurs de recherche, la Commission pourra infliger des amendes pouvant aller jusqu'à 6% de leur chiffre d'affaires mondial »[5].

A titre liminaire, il convient de préciser le champ d’application du DSA :

• Il s’applique territorialement aux entreprises qui proposent leurs services sur le territoire de l’Union Européenne, même si elles ne sont pas établies dans l’Union Européenne. Ces entreprises situées en dehors de l’UE seront par ailleurs tenues de désigner un représentant légal dans l’Union Européenne.

• Matériellement, il s’applique aux services intermédiaires. Ces derniers sont des services de la société de l'information et regroupent des catégories déjà connues : les services de simple transport d'informations sur un réseau de communication (fournisseur d’accès à Internet), les activités de cache et d'hébergement. De nouveaux services intermédiaires font leur apparition dans le texte : les plateformes en ligne et les moteurs de recherche en ligne.

Le présent article sera focalisé sur le régime des hébergeurs/plateformes en ligne, et présentera les principales obligations issues du DSA qui leur incombent. Dans un premier temps, il conviendra de présenter le mécanisme du régime de responsabilité limitée des hébergeurs qui a été maintenu par le DSA, en second lieu, seront présentées les obligations de diligence supplémentaires instituées par le DSA, qui visent à renforcer la transparence et la lutte contre les contenus illicites.

Le maintien du régime de notice and take down 

Le DSA n’a pas modifié le régime de responsabilité prévu par la directive n°2000/31/CE. Ainsi, la définition de l’hébergeur n’a souffert que de quelques modifications et le principe de responsabilité limitée est réaffirmé.

La notion d’hébergeur

Historiquement, le régime de responsabilité limitée s’applique aux hébergeurs et aux fournisseurs d’accès. Qu’est-ce qu’un hébergeur ? Pour rappel, la loi française pour la confiance dans l’économie numérique définit l’hébergeur comme « les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services […] »[6]

L’article 3 du règlement DSA dispose qu’un service d’hébergement est tout service qui consiste « à stocker des informations fournies par un destinataire du service à sa demande ». La définition de l'activité d'hébergeur n'a donc pas changé textuellement. Cependant, afin de s’adapter à toute une série de nouveaux acteurs qui ont émergé après l'adoption de la directive, le DSA scinde les hébergeurs en trois catégories : les hébergeurs « classiques », tels que prévus par la directive n°2000/31/CE, les plateformes en ligne et les très grandes plateformes en ligne.

La plateforme en ligne est ainsi définie comme « un service d'hébergement qui, à la demande d'un destinataire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d'un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l'intégration de cette caractéristique ou de cette fonctionnalité à l'autre service ne soit pas un moyen de contourner l'applicabilité du présent règlement ».

Les très grandes plateformes en ligne sont les plateformes en ligne qui « ont un nombre moyen de destinataires actifs du service dans l'Union égal ou supérieur à 45 millions ». Elles sont désignées comme telles par une décision de la Commission européenne.

Les contours de l’obligation de retrait de contenus illicites 

La LCEN précise que les hébergeurs « ne peuvent voir leur responsabilité pénale engagée à raison des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de l’activité ou de l’information illicite ou si, dès le moment où elles en ont eu connaissance, elles ont agi promptement pour retirer ces informations ou en rendre l’accès impossible ». Il est cependant prévu que toute personne qui solliciterait de manière abusive le retrait ou la cessation de la diffusion « [d’]un contenu ou d’une activité comme étant illicite […] alors qu’elle sait cette information inexacte » s’expose à une sanction pénale d’un an et à 15 000 euros d’amende.

Par ailleurs, l’article 6, I, 8 de la LCEN prévoit que l’autorité judiciaire peut prescrire à l’encontre d’un fournisseur d’hébergement, en référé ou sur requête, des mesures propres à prévenir un dommage ou à le faire cesser.

La loi a ainsi prévu deux étapes : la notification à l’hébergeur des actes qui font grief et la mise en demeure de cesser la diffusion, puis le retrait du contenu manifestement illicite. La responsabilité de l’hébergeur peut être engagée s’il ne retire pas un contenu « manifestement illicite » qui lui a été notifié ou encore s’il n’a pas agi promptement. S’agissant de la définition de ce qui est manifestement illicite, il s’agit notamment des contenus à caractère pédophile, ceux faisant l’apologie de crimes contre l’humanité et ceux incitant à la haine raciale. Entrent également dans la définition les atteintes aux droits d’auteur sous réserve que les ayants droits démontrent à l’hébergeur que leurs droits ont été violés. 

Le législateur a créé une présomption de connaissance des faits litigieux dès lors que l’hébergeur reçoit notification d’un certain nombre d’éléments énumérés par la loi, à savoir :

• si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ;

• si le requérant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement ;

• la description des faits litigieux et leur localisation précise ;

• les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;

• la copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté[7].

A contrario, les fournisseurs d’hébergement ne sont tenus à aucune obligation de surveillance générale des contenus hébergés a priori, c’est-à-dire avant toute notification.

Le DSA maintient ces principes de responsabilité. En conséquence, les fournisseurs d'un service de simple transport, de mise en cache ainsi que les hébergeurs conservent leur responsabilité limitée ou conditionnée pour les informations qu'ils transmettent, stockent ou hébergent. Ainsi, l’on peut légitimement en déduire que les jurisprudences autour du rôle actif restent en principe applicables. En effet, la jurisprudence considère que l'hébergeur n'est pas responsable s'il se limite à un rôle technique, automatique et passif. En revanche, il devient responsable s'il adopte un rôle actif[8]. Aussi, le DSA réaffirme au profit des services intermédiaires l'absence d'obligation générale de surveillance (sur les informations qu'ils transmettent ou stockent) ou de recherche active des faits ou circonstances révélant des activités illégales[9].

Cependant, le DSA est venu modifier le formalisme de la notification. En effet, les hébergeurs ont dorénavant l'obligation de mettre en place un mécanisme facilement accessible permettant à toute personne de leur signaler un contenu illicite, par exemple via un formulaire, permettant de renseigner les informations suivantes :

• une explication suffisamment étayée des raisons pour lesquelles le particulier ou l’entité allègue que les informations en question sont du contenu illicite;

• une indication claire de l’emplacement électronique exact de ces informations, comme l’URL ou les URL exact(s), et, le cas échéant, des informations complémentaires permettant d’identifier le contenu illicite en fonction du type de contenu et du type spécifique de service d’hébergement;

• le nom et l’adresse de courrier électronique du particulier ou de l’entité soumettant la notification, sauf dans le cas d’informations considérées comme impliquant une des infractions visées aux articles 3 à 7 de la directive 2011/93/UE;

• une déclaration confirmant que le particulier ou l’entité soumettant la notification pense, de bonne foi, que les informations et les allégations qu’elle contient sont exactes et complètes.

Deux autres nouveautés sont à noter. Le DSA sanctionne un comportement d’apparence. Ainsi, l’hébergeur verra sa responsabilité engagée dans le cas où il aurait présenté une information qui pourrait laisser croire au consommateur moyen que le produit ou le service faisant l'objet de la transaction est fourni directement par l'hébergeur ou par une personne agissant sous son autorité ou son contrôle[10]. Par ailleurs, lorsque l'hébergeur a connaissance d'informations conduisant à soupçonner qu'une infraction pénale présentant une menace pour la vie ou pour la sécurité des personnes, il doit en informer les autorités concernées.

En dehors du principe de responsabilité limitée qui a été maintenu par le DSA, le règlement prévoit des obligations supplémentaires (II).

Les obligations supplémentaires instituées par le DSA

Le DSA met à la charge des hébergeurs des obligations supplémentaires qui peuvent être classées suivant les obligations supplémentaires de lutte contre les contenus illicites, et les obligations de transparence.

Les obligations supplémentaires de lutte contre les contenus illicites 

Le DSA a créé le statut de signaleur de confiance[11]. Les notifications du signaleur de confiance devront être prioritaires et donner lieu à des décisions dans les meilleurs délais.

Aussi, les hébergeurs qualifiés de plateformes en ligne devront suspendre, pendant une période raisonnable et après avoir émis un avertissement préalable, la fourniture de leurs services aux utilisateurs du service qui fournissent fréquemment des contenus manifestement illicites[12].

Par ailleurs, afin de faire respecter le contradictoire, les hébergeurs qualifiés de plateformes en ligne sont tenus de mettre en place un système gratuit de traitement interne des plaintes à l'encontre de ses décisions déclarant un contenu illicite ou incompatible avec ses conditions générales d'utilisation. Les réclamations doivent être traitées dans un délai opportun et de manière non discriminatoire, diligente et non arbitraire[13]. Une fois la décision prise, la plateforme doit informer les plaignants de la décision prise dans les meilleurs délais ainsi que de la possibilité d'avoir accès à un règlement extrajudiciaire des litiges.

Enfin, les hébergeurs qualifiés de très grandes plateformes se voient imposer des obligations relatives à l’évaluation et atténuation des risques systémiques de leur service mais également de réaction face aux crises.

S’agissant de l’évaluation et atténuation des risques, les très grandes plateformes devront réaliser une analyse d'impact, au moins une fois par an, des risques systémiques découlant de la conception ou du fonctionnement de leurs services mais aussi de l'utilisation de leurs services[14] et de mettre en œuvre des mesures d'atténuation raisonnables, proportionnées et efficaces, adaptées aux risques systémiques recensés. Ces risques systémiques englobent la diffusion de contenus illicites, tout effet négatif pour l'exercice de nombreux droits fondamentaux, ou encore les effets négatifs sur la protection de la santé publique, la protection des mineurs, les processus électoraux ou la sécurité publique mais également les effets négatifs relatifs aux violences sexistes et les conséquences négatives graves sur le bien-être physique et mental des personnes. Les documents justificatifs de ces évaluations des risques devront être conservés pendant au moins trois ans et les très grandes plateformes ont l’obligation de les communiquer à la Commission et au coordinateur pour les services numériques, à leur demande.

Enfin, en cas de crise, la Commission, sur recommandation du comité, pourra adopter une décision exigeant que les très grandes plateformes effectuent certaines actions en lien avec la crise.[15]

A ces obligations supplémentaires de lutte contre les contenus illicites s’ajoutent des obligations de transparence.

Les obligations de transparence

Tous les prestataires devront créer un point de contact unique à destination des autorités et nommer un représentant légal qui pourra être tenu responsable du non-respect du règlement, tout comme le prestataire qu'il représente.

Par ailleurs, les conditions générales d'utilisation de l’hébergeur devront mentionner les restrictions qui impactent ses services, notamment les mesures et outils mis en place pour la modération des contenus, y compris la prise de décision fondée sur des algorithmes et le réexamen par un être humain[16]. Au surplus, le règlement exige des très grandes plateformes et des très grands moteurs de recherche en ligne qu'ils publient leurs conditions générales dans toutes les langues officielles des États membres concernés par leurs services et qu'ils en fournissent un résumé concis, clair et facilement accessible.

Aussi, les hébergeurs ont l’obligation de publier au moins une fois par an, un rapport sur les procédures de modération des contenus auxquelles ils se sont livrés, incluant certaines informations[17]. Le niveau d’information exigé dépend de la qualification de l’acteur (services intermédiaires, plateforme en ligne, très grande plateforme en ligne).  Les microentreprises et petites entreprises, qui ne sont pas de très grandes plateformes en ligne, sont exonérées de cette obligation.

Suivant le système pyramidale d’obligations institué par le DSA, les hébergeurs entrant dans la définition de plateforme en ligne devront répondre à une exigence de transparence en matière de publicité en ligne, en veillant à ce que les destinataires puissent identifier de manière claire, précise, non ambiguë et en temps réel, pour chaque publicité, que les informations affichées sont de la publicité, mais aussi pouvoir identifier la personne pour le compte de laquelle la publicité est présentée et la personne qui a payé pour cette publicité si elle est différente[18]. Aussi, au regard des objectifs de protection des mineurs, le DSA interdit aussi les interfaces de publicité en ligne, qui reposent sur le profilage en utilisant des données personnelles, à destination des mineurs, lorsque la plateforme a connaissance avec une certitude raisonnable que le destinataire est mineur. Pour les très grandes plateformes en ligne et très grands moteurs de recherche en ligne, les obligations de transparence relatives à la publicité en ligne sont renforcées. Ainsi, ils devront mettre à la disposition du public, dans une section accessible et facilement utilisable de leur plateforme, un registre contenant certaines informations sur les publicités en ligne proposées via leurs services[19].

Les plateformes en ligne devront donc également faire figurer dans leurs conditions générales, dans un langage simple et compréhensible, les principaux paramètres utilisés dans leurs systèmes de recommandation, ainsi que les options dont disposent les destinataires du service pour modifier ou influencer ces principaux paramètres[20]. Les très grandes plateformes en ligne et très grands moteurs de recherche en ligne qui utilisent des systèmes de recommandation devront, en outre, proposer au moins une option pour chacun de leurs systèmes de recommandation qui ne repose pas sur du profilage au sens du RGPD[21].

Enfin, les plateformes en ligne, ont l’interdiction de concevoir, d'organiser ou d'exploiter leurs interfaces en ligne de façon à tromper ou à manipuler les utilisateurs de leur service ou de toute autre façon propre à altérer ou à entraver substantiellement la capacité des utilisateurs de leurs services à prendre des décisions libres et éclairées[22]. Cela revient à interdire la pratique des dark patterns.

Pour ce qui est de l’entrée en application du DSA, si vous êtes une plateforme en ligne, vous devez avoir publié avant le 17 février 2023, le nombre moyen mensuel d’utilisateurs résidents de l’Union Européenne ayant visité votre site (ensuite, mettre à jour ce chiffre au moins tous les six mois) et publier ce chiffre sur votre site ou votre application. Si vous êtes une très grande plateforme en ligne, vous aurez quatre mois après votre désignation en tant que très grande plateforme par la Commission européenne pour vous conformer pleinement aux obligations de votre catégorie. Le règlement entrera en application pour tous les intermédiaires en ligne le 17 février 2024.

Aussi, il est intéressant de relever qu’outre Atlantique, la Cour suprême américaine, dans l’affaire Gonzalez vs Google examinera pour la première fois un cas concernant la section 230 du Communications Decency Act, qui encadre aux États-Unis le régime de responsabilité limité des hébergeurs. La question sera de déterminer si l’amplification algorithmique rend les plateformes responsables des contenus qu’elles hébergent.

Auteure : Caroline Demangeon

Co-auteure : Oriana Labruyère

[1] « La Cour de cassation, dans un arrêt du 17 novembre 1992, considérait que si le rôle des fournisseurs d’hébergement n’est pas limité au transport du contenu de l’information mise en ligne par leurs clients, il ne s’étend pas pour autant au contenu de l’information », Dalloz, Praxis Cyberdroit, Christiane Féral-Schuhl

[2] Considérant n°2 du règlement (UE) 2022/2065 : « De plus en plus, les États membres adoptent ou envisagent d’adopter des législations nationales sur les matières relevant du présent règlement, imposant notamment des obligations de diligence aux fournisseurs de services intermédiaires en ce qui concerne la manière dont ils devraient combattre les contenus illicites, la désinformation en ligne ou d’autres risques pour la société. Étant donné le caractère intrinsèquement transfrontière de l’internet, qui est généralement utilisé pour fournir ces services, ces législations nationales divergentes ont une incidence négative sur le marché intérieur qui, en vertu de l’article 26 du traité sur le fonctionnement de l’Union européenne, comporte un espace sans frontières intérieures dans lequel la libre circulation des marchandises et des services et la liberté. »

[3] du Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022

[4] https://www.vie-publique.fr/eclairage/285115-dsa-le-reglement-sur-les-services-numeriques-ou-digital-services-act

[5] https://www.vie-publique.fr/eclairage/285115-dsa-le-reglement-sur-les-services-numeriques-ou-digital-services-act

[6] Article 6-1-2 de la LCEN.

[7] Article 6, I, 5 de la LCEN.

[8] (CJUE 23 mars 2010, aff. C- 236/08 à C-238/08)

[9] Article 8 du DSA.

[10] Article 6 du DSA.

[11] Article 22 du DSA.

[12] Article 23 du DSA.

[13] Article 20 du DSA.

[14] Article 34 du DSA.

[15] Article 36 du DSA.

[16] Article 14 du DSA.

[17] Article 15 du DSA.

[18] Article 26 du DSA.

[19] Article 39 du DSA.

[20] Article 27 du DSA.

[21] Article 38 du DSA.

[22] Article 25 du DSA.