Le DSA et le DMA : bilan et perspectives
Deux directives européennes, DSA et DMA, vont faire significativement évoluer le droit sur Internet. Il était temps de faire un point.
PublicitéLa Commission européenne a entrepris de modifier la directive e-commerce de 2000 pour tenir compte des nouveaux défis du numérique et tout particulièrement la lutte contre les contenus illicites (discours haineux, protection des mineurs, infox qui vise à influencer un processus législatif ou un vote...).
En novembre 2021, deux textes européens - le DSA pour les services numériques et le DMA pour le marché numérique - ont été adoptés par les ministres du numérique des 27, ouvrant la voie aux négociations entre la Commission, le Conseil et le Parlement pour trouver un texte de consensus, l'objectif étant d'arrêter un texte final commun d'ici mi-2022.
Le 14 décembre 2021 (Parlement UE, C.P., 14 déc. 2021), les députés européens ont adopté à leur tour une position sur le DSA.
En forme de synthèse, et en l'état des textes, quatre points retiennent plus particulièrement l'attention.
La volonté de viser largement les services en ligne
Sont ciblés les réseaux sociaux, les moteurs de recherche, les places de marché en ligne, les systèmes d'exploitation... Il est question d'intégrer également les assistants vocaux et les navigateurs.
Quant aux « contrôleurs d'accès » (gatekeepers) « qui ont une forte incidence sur le marché intérieur [et] qui constituent un point d'accès important des entreprises utilisatrices pour toucher leur clientèle », les critères de leur désignation ont été précisés : fournir un service dans au moins trois États membres et avoir réalisé un chiffre d'affaires annuel dans l'Union européenne supérieur ou égal à 6,5 milliards d'euros au cours des trois derniers exercices. Il s'agit également des services en ligne dont la capitalisation boursière moyenne ou la juste valeur marchande s'est élevée à au moins 65 milliards d'euros au cours du dernier exercice.
Le renforcement significatif des obligations à la charge des plateformes
Les obligations de transparence - par exemple, les mentions dans les CGU des mesures prises pour modérer les contenus, en précisant si elles relèvent d'un traitement algorithmique ou humain, la mise en place d'un mécanisme de notification des contenus illicites... s'enrichissent de contraintes nouvelles, en fonction des objectifs.
Autre exemple, pour lutter contre l'infox, il est prévu que les plateformes devront afficher de manière visible le nom du sponsor. Il leur est interdit d'utiliser des informations sensibles dans le ciblage pour les publicités politiques, sauf avec le consentement explicite des utilisateurs. Ces limitations couvrent les données relatives à la race, aux opinions politiques, aux croyances religieuses, à l'orientation sexuelle, à l'état de santé et à l'affiliation syndicale. L'interdiction ne s'applique pas aux syndicats ou aux organisations à caractère religieux ou politique spécifique qui pourront toujours s'adresser à leurs membres.
PublicitéCes obligations peuvent encore évoluer, le texte prévoyant que la commission pourra ajouter, modifier ou supprimer ultérieurement des éléments des obligations de transparence par le biais d'actes délégués.
Des obligations de traçabilité des entreprises clientes ont été rajoutées, notamment afin de lutter contre la contrefaçon (DSA, art. 22). A ce titre, tous les services en ligne devront notifier les soupçons d'infractions pénales graves.
La question de l'articulation de ces deux obligations nouvelles peut se poser au regard du principe selon lequel il n'y a aucune obligation de surveillance généralisée, ni aucune obligation de rechercher activement des faits ou des circonstances révélant des activités illicites.
Des obligations « ex-ante » - c'est à dire avant les agissements et le dommage produits - devraient pallier les insuffisances de notre droit français de la concurrence.
Au nombre de ces obligations, on notera l'interdiction de croiser les données personnelles des utilisateurs avec celles de ses autres services sans leur consentement ou encore l'interdiction d'imposer aux utilisateurs qu'ils s'abonnent ou s'enregistrent à un autre des services du contrôleur d'accès comme condition d'accès au service principal. Ou encore l'interdiction d'« empêcher ou (...) restreindre la possibilité pour les entreprises utilisatrices de faire part à toute autorité publique compétente de préoccupations à l'égard de toute pratique des contrôleurs d'accès » (DMA, art. 6).
Une redistribution des responsabilités
Rien ne change au regard du régime de responsabilité instauré par la directive sur le commerce électronique (directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur dite directive sur le commerce électronique,) et la loi de transposition pour la confiance dans l'économie numérique (Lcen 2004, art. 6).
Cependant, on relève des obligations proportionnelles à la taille de l'entreprise : les très grandes plateformes présentent un risque « systémique » pour l'écosystème numérique. Les obligations des FAI sont quant à elles transférées aux plateformes (obligation de supprimer les contenus illégaux).
Il y a donc comme une coexistence ou la superposition de régimes de responsabilités.
Des pouvoirs de surveillance et de contrôle renforcés
Les dispositifs DSA et DMA se veulent résolument dissuasif, pouvant aller jusqu'au démantèlement lorsqu'il « ressort de l'enquête sur le marché qu'un contrôleur d'accès a systématiquement contrevenu » (DMA, art. 16).
Au chapitre des sanctions, celles-ci peuvent atteindre 6 % (DSA) et 10 % (DMA) des revenus ou du chiffre d'affaires annuel du prestataire concerné.
Si la Commission européenne est la seule instance habilitée à faire appliquer le règlement, le dernier texte précise que les États membres peuvent habiliter les autorités nationales de concurrence à ouvrir des enquêtes sur d'éventuelles infractions et à transmettre leurs conclusions à la Commission.
Les députés européens prévoient également que les bénéficiaires de ces services et les organisations qui les représentent pourront demander réparation du préjudice résultant du non-respect par les plateformes de leurs obligations.
On notera que la démarche d'harmonisation ne permet plus aux États membres de légiférer spécifiquement sur ces plateformes et les autorités nationales ne peuvent prendre « aucune décision qui irait à l'encontre d'une décision adoptée par la Commission » en application du DMA (DMA, art. 1er, § 5 et § 7).
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire