Le Digital Services Act : Quelles sont les catégories d'acteurs concernés ?
Présenté fin 2020 par la Commission européenne, le Digital Services Act (DSA) a été approuvé par le Parlement européen le 5 juillet 2022. Le Conseil de l’Union Européenne devrait se prononcer, quant à lui, dans les semaines à venir. Pour rappel, le DSA entrera en vigueur 20 jours après sa publication au Journal Officiel, mais ne sera pas immédiatement applicable. Il s’appliquera à l’ensemble des Etats membres et aux entreprises qui y opèrent.
Alors que le DSA est présenté comme une première mondiale dans le domaine de la régulation numérique, l’équipe d’avocats experts en propriété intellectuelle et technologies de DLA Piper revient dans cette alerte, sur l’importance et le champ d’application de ce nouveau règlement. Dans une série de plusieurs articles les équipes de DLA Piper reviendront plus en détail sur les obligations de chacune des catégories d’acteur définies par le Digital Services Act.
Fondé sur la philosophie du Règlement Général sur la Protection des Données (RGPD) et signalant une forte volonté politique de combler les lacunes réglementaires dans la sphère numérique, les objectifs du DSA sont multiples, notamment :
- moderniser les articles de la directive « e-commerce » du 8 juin 2000 relatifs au régime de responsabilité des intermédiaires techniques ;
- faire d’internet un espace plus sûr en responsabilisant les plateformes afin d’atténuer les risques systémiques tel que la désinformation en ligne ; et
- mieux protéger les internautes européens et promouvoir la protection de leurs droits fondamentaux.
1. Quatre catégories d’acteurs concernésLe DSA définit des catégories d’acteurs qui s’emboîtent selon un système de « poupées russes » : ‒ la catégorie des services intermédiaires qui inclut la catégorie des services d’hébergement ; | L’articulation entre les différents acteurs encadrés par le DSA (source : site de la commission européenne sur le DSA) |
Catégorie 1 : les services intermédiaires (article 2f du DSA)
Les services intermédiaires sont largement définis par le DSA et correspondent aux :
‒ services de « simple transport » qui consistent à transmettre, sur un réseau de communication, des informations fournies par un bénéficiaire du service ou à fournir un accès au réseau de communication (ex. les points d’échanges internet) ;
‒ services de « mise en cache » qui consistent à transmettre, sur un réseau de communication, des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information, effectué dans le seul but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires (ex : les fichiers stockés dans le cache du navigateur plutôt que dans le serveur d’origine).
Catégorie 2 : les services d’hébergement (article 2f du DSA)
Les services d’hébergement consistent à stocker des informations fournies par un bénéficiaire du service à la demande de ce dernier.
Sont notamment considérés comme des services d’hébergement : l’informatique en nuage, l’hébergement de sites internet, les services de référencement payant ou les services permettant le partage d’informations et de contenus en ligne (considérant 27 bis).
Catégorie 3 : les plateformes en ligne (article 2h du DSA)
Les plateformes en ligne s’entendent de tout fournisseur de service d’hébergement qui, à la demande, d’un bénéficiaire du service, stocke et diffuse au public des informations, à moins que cette activité ne soit une caractéristique mineure et purement accessoire d’un autre service ou une fonctionnalité mineure du service principal qui, pour des raisons objectives et techniques, ne peut être utilisée sans cet autre service, et pour autant que l’intégration de cette caractéristique ou de cette fonctionnalité à l’autre service ne soit pas un moyen de contourner l’applicabilité du DSA.
Sont considérées comme des plateformes en ligne, les places de marché en ligne ou encore les réseaux sociaux.
A l’inverse, les services d’informatique en nuage et les services d’hébergement de sites internet qui servent d’infrastructure d’une application internet, d’un site web ou d’une plateforme en ligne, ne devraient pas être considérés comme diffusant au public les informations stockées ou traitées à la demande d’un bénéficiaire de l’application, du site web ou de la plateforme en ligne qu’ils hébergent.
En revanche, l’hébergement de commentaires sur un réseau social devrait être considéré comme un service de plateforme en ligne, lorsqu’il est clair qu’il ne constitue pas une caractéristique mineure du service offert, même s’il est accessoire à la publication de messages par les bénéficiaires du service (considérant 13).
A noter : pour éviter d’imposer des contraintes disproportionnées, les obligations imposées aux fournisseurs de plateformes en ligne ne devraient pas s’appliquer aux fournisseurs qui peuvent être considérés comme des microentreprises ou petites entreprises (i.e., qui occupent moins de 250 personnes et dont le chiffre d'affaires annuel n'excède pas 50 millions d'euros ou dont le total du bilan annuel n'excède pas 43 millions d'euros).
La notion de plateforme en ligne instaurée par le DSA est très large et dépasse celle actuellement en vigueur en France dans le Code de la consommation (article L. 111-7).
Catégorie 4 : les très grandes plateformes (article 25 du DSA) et les très grands moteurs de recherche (article 2bis du DSA)
Conformément à l’article 25 du règlement, les très grandes plateformes en ligne correspondent aux plateformes atteignant un nombre mensuel moyen de bénéficiaires actifs du service au sein de l’Union européenne égal ou supérieur à 45 millions et qui seront désignés comme tels par la Commission.
Le DSA inclut par ailleurs une définition du « moteur de recherche en ligne » et rattache les « très grands moteurs de recherche » au régime des très grandes plateformes, ces derniers seront dès lors soumis aux mêmes exigences que les très grandes plateformes en ligne (considérants 38 quater et 53).
Notons cependant que le considérant 53 précise que cela se fera dans la mesure où ces obligations seront applicables faisant naître, de facto, une forte insécurité juridique pour les très grands moteurs de recherches.
Sont notamment concernés les GAFAM.
Remise en cause de la division française bipartite des acteurs du monde numérique : A l’occasion de la transposition de la directive e-commerce 2000/31/CE, le législateur français avait considérablement simplifié les catégories d’acteurs concernés par la mise en place d’une division bipartite : hébergeurs d’un côté et fournisseurs d’accès à internet de l’autre. Le DSA vient remettre en cause cette classification et impose à tous les Etats membres la définition des catégories de fournisseurs de services intermédiaires.
2. Un champ d’application extraterritorial
Le DSA s’appliquera à tous les services intermédiaires en ligne offrant leurs services à un nombre significatif de bénéficiaires dont le lieu d’établissement ou de résidence se situe dans l’Union européenne et ce même si les fournisseurs ne sont pas eux-mêmes établis dans l’UE (article 1 bis, considérant 8).
De ce champ territorial très étendu découle une obligation pour chaque fournisseur de services intermédiaires de désigner un point de contact unique :
‒ à destination des autorités nationales (article 10) ou si les intermédiaires ne sont pas établis sur le territoire de l’Union européenne, un représentant légal (article 11) ; et
‒ à destination des bénéficiaires de services (article 10bis).
Les informations pratiques permettant de communiquer avec ce point de contact unique doivent être facilement accessibles et tenues à jour.
Ce point de contact sera l’interlocuteur privilégié, voir exclusif, des autorités et des bénéficiaires de services s’agissant du respect des dispositions du DSA.
3. La mise en place d’obligations graduées par catégorie d’acteurs
Outre cela, le DSA instaure différentes obligations graduées, selon la catégorie d’acteurs concernés.Ces dernières ont notamment trait à la lutte contre les contenus illicites (affirmation du régime à l’encontre de l’irresponsabilité des hébergeurs, introduction du statut de signaleur de confiance, encadrement des plaintes et des recours, informations des utilisateurs relatif au retrait des contenus, etc.), la transparence en ligne, la protection et l’information des utilisateurs (explications relatives au système de recommandation, interdiction de présenter des contenus ciblés basés sur les données personnelles d’un mineurs ou sur les données sensibles des utilisateurs, interdiction des dark patterns, etc.) et l’évaluation et la gestion des risques (établissement de rapport de transparence sur les modalités de modération de contenus mises en œuvre, nombre de litiges, nombres de retraits de contenus, etc.).
Les obligations de chacune des catégories d’acteur définies par le DSA feront l’objet d’analyses plus précises dans les prochaines alertes que DLA Piper.
Retrouvez ici nos dernières alertes sur le DSA et DMA.