Le "Digital Services Act" : mode d’emploi - Commission européenne
Aller au contenu principal
Logo de la Commission européenne
frfr
Représentation en France
  • Article d’actualité
  • 27 février 2025
  • Représentation en France
  • 21 min de lecture

Le "Digital Services Act" : mode d’emploi

Qu’est-ce que le règlement sur les services numériques (« Digital Services Act ») ? 

Le règlement sur les services numériques est issu du Paquet « Législation sur les services numériques » composé de celui-ci ainsi que du règlement sur les marchés numériques (aussi appelé “DMA”). Ce paquet de deux règlementations vise à créer un espace numérique plus sûr dans lequel d’une part, les droits fondamentaux des utilisateurs sont protégés et d’autre part, des conditions de concurrence équitables pour les entreprises sont assurées. 

Le règlement sur les services numériques, adopté le 16 novembre 2022, établit un cadre règlementaire avec pour socle le principe selon lequel tout ce qui est illégal dans la vie réelle est aussi illégal en ligne. Il modernise la « directive sur le commerce électronique » qui date de 2000. 

Internet user viewing a Facebook page

Quels sont les fournisseurs de services intermédiaires visés par le règlement sur les services numériques ? 

  • Où sont-ils situés ?

Le règlement sur les services numériques « s’applique exclusivement aux services proposés aux destinataires du service dont le lieu d’établissement est situé dans l’Union ou qui sont situés dans l’Union, quel que soit le lieu d’établissement des fournisseurs de ces services intermédiaires » (article 2).  

  • Quels services offrent-ils ?

Les services intermédiaires peuvent être divisés en trois grandes catégories (article 3) : 

  • Les services de simple transport : consistent à transmettre sur un réseau de communication des informations fournies par un destinataire du service, ou à fournir l’accès à un réseau de communication ; 
  • Les services de mise en cache : consistent à transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, impliquant le stockage automatique, intermédiaire et temporaire de ces informations, dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires. Pratiquement cela permet à un serveur de stocker la copie d’une information et de la renvoyer lorsqu’elle est demandée sans la retélécharger. 
  • Les services d’hébergement : consistent à stocker des informations fournies par un destinataire du service à sa demande 

A ces trois grandes catégories de services intermédiaires, le DSA inclut deux services spécifiques : 

  • Les plateformes en ligne : elles sont considérées comme une sous-catégorie des services d’hébergement. La différence avec d’autres service d’hébergement est qu’en plus de stocker des informations, la plateforme en ligne diffuse des informations. C’est le cas par exemple des plateformes de réseaux sociaux. 
  • Les moteurs de recherche : on peut les qualifier de protéiformes. Ils ont pour principale tâche de permettre à un internaute de trouver une information le plus efficacement possible mais peuvent utiliser la mise en cache, ou encore l’hébergement.

Quelle est l’étendue de la responsabilité des services intermédiaires ? 

La question de la responsabilité des services intermédiaires s'est longtemps cristallisée autour des hébergeurs (notamment des plateformes en ligne) et de la problématique de leur responsabilité vis-à-vis des contenus stockés et publiés. Le DSA maintient ce qu’on peut appeler un régime de responsabilité conditionnelle :

  • Absence de responsabilité directe sur l’information 
  • Les services de simple transport et de mise en cache (articles 4 et 5) ne sont pas responsables des informations transmises ou stockées par leur service sous certaines conditions (pas de modification sur le contenu de l’information ou encore sur ces destinataires …) ;
  • Les hébergeurs (article 6), et précisément les plateformes en ligne ne sont pas responsables des informations stockées à deux conditions : 
  • Ils ne doivent pas avoir connaissance de l’activité illégale ou du contenu illicite ; 
  • Dès le moment où ils prennent connaissance ou conscience de l’illicéité, ils agissent pour retirer le contenu ou rendre l’accès à celui-ci impossible. 
  • Absence d’obligation générale de surveillance des informations (article 8) : cela concerne tous les fournisseurs de service intermédiaire. 

Le Digital Services Act ajoute deux éléments à ce cadre de responsabilité pour les services de fournisseurs intermédiaires : des garanties lorsqu’ils reçoivent des injonctions d’agir contre des contenus illicites et des injonctions de fournir des informations par des autorités judiciaires ou administratives nationales. 

En contrepartie de ce régime de responsabilité conditionnelle favorable, le règlement sur les services numériques a créé un cadre d’« obligations de diligence pour un environnement en ligne sûr et transparent ». 

 

Quelles sont les nouvelles obligations du règlement sur les services numériques qui s’imposent aux fournisseurs de services intermédiaires ? 

Ces nouvelles obligations sont classées dans le règlement selon qu’elles s’imposent à tel ou tel type de service : elles sont ajustées en fonction du rôle, de la taille et de l’impact sur l’écosystème en ligne.  Elles peuvent aussi être étudiées sous l’angle de deux objectifs : une meilleure transparence des services en ligne et la garantie de l’intégrité de ces services

Pour tous les fournisseurs de services intermédiaires, il est imposé : 

  • La désignation d’un point de contact qui communiquera avec les autorités publiques désignées (Commission européenne ou coordinateur pour les services numériques) et pour les fournisseurs qui ne se trouvent pas dans l’Union, un représentant légal dans un des États membres dans lequel le fournisseur propose ses services. 
  • La transparence des conditions générales : doivent apparaître dans un « langage clair, simple, intelligible, aisément abordable et dépourvu d’ambiguïté » les éventuelles restrictions qu’ils imposent en ce qui concerne l’utilisation de leur service ou encore les informations sur leur politique de modération y compris lorsque celle-ci est effectuée par des algorithmes. 
  • La fourniture de rapports de transparence : au moins une fois par an, ils doivent éditer un rapport mis à la disposition du public sur les activités de modération des contenus auxquelles ils se sont livrés. 

Des obligations supplémentaires sont appliquées aux fournisseurs de services d’hébergement, y compris les plateformes en ligne : 

  • La mise en place de mécanismes de notification et d’action : ce sont des mécanismes qui permettent à tout utilisateur de signaler la présence au sein du service d’éléments d’information pouvant être considérés comme du contenu illicite. 
  • Un exposé des motifs en cas de restriction du service par l’hébergeur : il s’agit pour les services d’hébergement et de plateformes en ligne de justifier lorsqu’elles suspendent un compte, leur service, le paiement ou invisibilisent un contenu. 
  • La notification des soupçons d’infraction pénale : si un fournisseur de service d’hébergement a connaissance d’une information conduisant à soupçonner une infraction pénale qui peut présenter une menace pour la vie ou la sécurité de personne, il doit en informer les autorités répressives ou judiciaires de l’état ou des états concernés. 

Les plateformes en ligne, précisément, se voient imposer des obligations supplémentaires (exclusion des microentreprises et petites entreprises de moins de 50 salariés et de moins de 10 millions d’euros de chiffre d’affaires annuel) : 

  • La mise en place de système interne de traitement des réclamations : dans le cas où un utilisateur d’une plateforme s’est vu restreindre le service (suspension de compte, retrait d’un contenu), la plateforme doit prévoir la possibilité pour cet utilisateur de faire une réclamation contre cette décision. 
  • La possibilité pour les utilisateurs de recourir à un règlement extrajudiciaire des litiges ;
  • La priorisation du traitement des notifications par les signaleurs de confiance ;
  • La mise en place de mesures de lutte et de protection contre les utilisations abusives : ces utilisations abusives concernent les utilisateurs qui fournissent fréquemment des contenus illicites ou des utilisateurs qui usent fréquemment et de manière manifestement infondée des systèmes de notification et de réclamation. 
  • La publication de rapports de transparence plus complet : les rapports de transparence des plateformes en ligne doivent intégrer le nombre de litiges, ainsi que les résultats de ces litiges (lorsqu’il y a eu procédure de règlement extrajudiciaire) ainsi que le nombre de suspension (de contenu ou de compte).
  • Une conception sans tromperie ni manipulation des interfaces en ligne des plateformes ; 
  • Une transparence accrue de la publicité en ligne : les utilisateurs doivent pouvoir identifier que le contenu est de la publicité.
  • Une transparence accrue du système de recommandation : doivent apparaître dans les conditions générales d’utilisation, dans un langage simple et compréhensible, les principaux paramètres utilisés dans les systèmes de recommandation.
  • Une garantie élevée de la protection de la vie privée des mineurs : la publicité ciblée pour les mineurs est interdite dès lors que le service à connaissance avec une “certitude raisonnable” que le destinataire du service est mineur 

Le règlement sur les services numériques impose aussi des obligations supplémentaires aux fournisseurs de plateformes en ligne permettant aux consommateurs de conclure des contrats à distances avec des professionnels. Ces obligations sont la garantie de la traçabilité des professionnels, l’organisation adéquate de la plateforme pour permettre le respect des obligations en matière d’informations précontractuelle, de conformité et d’informations sur la sécurité des produits ainsi que l’information de l’illégalité d’un produit ou d’un service à l’utilisateur, lorsque la plateforme en a connaissance. 

 

Quelles sont les obligations supplémentaires qui s’appliquent aux très grandes plateformes et très grands moteurs de recherche ?

De plus, le Digital Services Act, organise une règlementation et un dialogue particulier pour les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne. La logique qui sous-tend le règlement sur les services numériques est que plus le service est grand, plus il peut faire courir un risque dit « systémique ».

Les très grandes plateformes en ligne et les très grands moteurs de recherche sont ceux qui ont un nombre « mensuel moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions », et qui sont désignés comme tels par la Commission (article 33).  À ce jour, la Commission européenne a désigné les services suivants : 

Très grandes plateformes : 

  • AliExpress (104.3 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Amazon Store (181.3 millions d’utilisateurs mensuels en moyenne dans l’UE) ;
  • Apple –App Store (123 millions d’utilisateurs mensuels en moyenne dans l’UE) ;
  • Pornhub (45 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Booking.com (45 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Google Play (284.6 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Google Maps (275.6 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Google Shopping (70.8 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Youtube (416.6 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Shein (108 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • LinkedIn (45.2 millions d’utilisateurs actifs mensuels en moyenne dans l’UE, 132.5 millions de visite du site sans connexion mensuelles en moyenne dans l’UE) ;
  • Facebook (259 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Instagram (259 millions d’utilisateurs mensuels en moyenne dans l’UE) ;
  • XNXX (45 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Pinterest (124 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Snapchat (102 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Stripchat (45 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • TikTok (135,9 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • X (115,1 millions d’utilisateurs mensuels en moyenne dans l’UE) 
  • Temu ( 75 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • XVideos (160 millions d’utilisateurs mensuels en moyenne dans l’UE) ; 
  • Wikipédia (151.1 millions d’utilisateurs mensuels en moyenne dans l’UE). 

Très grands moteurs de recherche :

  • Google Search (364 millions utilisateurs mensuels en moyenne dans l’UE) ; 
  • Bing (119 millions d’utilisateurs mensuels en moyenne dans l’UE) ;
  • Zalando (74.5 millions d’acheteurs mensuels en moyenne dans l’UE). 

 

En plus d’obligations supplémentaires, ces grands services se voient instaurer un dialogue particulier avec la Commission européenne : 

  • Évaluation des risques : ils doivent analyser et évaluer tout risque systémique au sein de l’Union découlant de la conception ou du fonctionnement de leurs services. Ces risques dits « systémiques » sont les suivants : 
    • Diffusion de contenus illicites par l’intermédiaire de leurs services ; 
    • Tout effet négatif, réel ou prévisible pour l’exercice des droits fondamentaux ;
    • Tout effet négatif, réel ou prévisible sur le discours civique, les processus électoraux et la sécurité publique ;
    • Tout effet négatif réel ou prévisible lié aux violences sexistes et à la protection de la santé publique et des mineurs. 
  • Atténuation des risques : ils doivent mettre en place de mesures d’atténuation des risques systémiques (adaptation des conditions générales, adaptation des processus de modération des contenus avec plus de rapidité pour le retrait des contenus qui sont fait l’objet d’une notification…)
  • Mécanisme de réactions aux crises :
    • Une crise est définie par le règlement comme « des circonstances extraordinaires qui entraînent une menace grave pour la sécurité publique ou la santé publique » (article 36) ;
    • L’intégration de ce mécanisme dans le DSA découle des différentes crises exceptionnelles qui ont eu lieu au moment de la rédaction et de l’adoption du texte : pandémie de Covid-19 et invasion de l’Ukraine par la Russie ;
    • La Commission peut demander à ces « très grands » services d’évaluer comment le fonctionnement de leur service contribue à une menace grave, de déterminer et d’appliquer des mesures efficaces et proportionnées pour prévenir, éliminer ou limiter toute contribution à la menace grave et elle peut demander à ces services de lui rendre un rapport à intervalles réguliers sur les évaluations de ces risques ainsi que des risques pour les atténuer. 
  • Audit indépendant : cet audit porte sur toutes les obligations de diligence pour un environnement en ligne sûr et transparent, il doit avoir lieu au moins une fois par an et est à la charge des services.
  • Systèmes de recommandation : les fournisseurs de très grands services doivent proposer au moins une option pour chacun de leur système de recommandation qui ne repose pas sur du profilage. 
  • Transparence renforcée de la publicité en ligne : ils doivent présenter un registre sur leur interface qui explicite les informations relatives aux publicités qui apparaissent (contenu, propriétaire, période de présentation, nombre total de destinataires atteintes…). 
  • Accès aux données et contrôle des données : la Commission ou les coordinateurs pour les services numériques de l’Etat membre d’établissement peuvent demander un accès aux données nécessaires pour contrôler et évaluer le respect du règlement.
  • Fonction et contrôle de la conformité : chaque fournisseur de très grand service doit créer une fonction de contrôle de la conformité qui soit indépendante des fonctions opérationnelles.
  • Obligations en matière de rapports de transparence : les rapports de transparence, qui sont obligatoires pour tous les services intermédiaires, doivent être plus précis et publiés au moins tous les six mois pour les « très grands » fournisseurs de plateforme en ligne et moteurs de recherche. 
  • Redevance de surveillance : la Commission perçoit auprès des fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne, une redevance de surveillance annuelle pour couvrir les frais estimés qu’elle doit engager pour mener à bien ses missions de surveillance. 

 

La place de la modération dans le DSA : la préservation de la liberté d’expression 

Un discours accusant le règlement sur les services numériques d’organiser la censure dans l’Union européenne s’est fait une place dans le débat public. 

La modération, qui peut amener à l’invisibilisation ou le retrait d’un contenu, est définie par le règlement sur les services numériques à l’article 3 comme : « les activités, qu’elles soient automatisées ou non, entreprises par des fournisseurs de services intermédiaires qui sont destinées, en particulier, à détecter et à identifier les contenus illicites ou les informations incompatibles avec leurs conditions générales, fournis par les destinataires du service, et à lutter contre ces contenus ou ces informations, y compris les mesures prises qui ont une incidence sur la disponibilité, la visibilité et l’accessibilité de ces contenus ou ces informations, telles que leur rétrogradation, leur démonétisation, le fait de rendre l’accès à ceux-ci impossible ou leur retrait, ou qui ont une incidence sur la capacité des destinataires du service à fournir ces informations, telles que la suppression ou la suspension du compte d’un destinataire ».

Le Digital Services Act ne pose aucune obligation générale de modération des contenus. Il impose, dans le cadre de la protection de la liberté d’expression, à tous les fournisseurs de services d’hébergement, dont les plateformes en ligne (article 17), de fournir aux destinataires affectés par une restriction un exposé des motifs. Un contenu ou un compte ne peut donc se voir invisibilisé, supprimé ou démonétisé sans explication de la part de la plateforme. De plus, le règlement impose, pour les plateformes en ligne précisément, la mise en place d’un mécanisme de traitement interne des réclamations afin que les utilisateurs puissent contester une décision de modération. 

Certaines obligations sont liées à la modération des contenus. Il faut préciser qu’une étude de 2024 a montré que 99,8% des contenus retirés par décision de modération, le sont par contrariété avec les conditions générales et non parce qu’ils sont illicites. Concernant la modération des contenus illicites, le règlement émet certaines obligations pour les services d’hébergement et les plateformes en ligne précisément. Ces services doivent prévoir un mécanisme de notification pour permettre de signaler des contenus illicites. Les plateformes, plus précisément, doivent mettre en place des mesures de lutte et de protection contre les utilisations abusives du service. Enfin dans le cadre des très grands services, le règlement précise que l’obligation de l’atténuation des risques systémiques par la très grande plateforme ou le très grand moteur de recherche, peut passer par l’adaptation des processus de modération. En pratique, le Digital Services Act ne règlemente pas les contenus mais les services et systèmes qui mettent ces contenus à la disposition des utilisateurs. 

Comment s’organise la supervision du règlement ?

La particularité de la supervision du Digital Services Act est qu’elle implique une variété d’acteurs et une variété de niveaux (plateformes ; niveau national et niveau européen). Au niveau européen, la Commission européenne joue un rôle essentiel dans la supervision de ce règlement et s’est organisée pour cela.

Supervision par les plateformes de leurs propres services

Les fournisseurs de services sont impliqués dans le contrôle de leur propre service. Les obligations ci-dessus organisent leur mise en conformité avec le règlement notamment par la désignation d’un point de contact, d’un représentant dans l’Union et pour les très grands services, d’une fonction de contrôle de la conformité. Le responsable, au sein des services, du contrôle de la conformité a pour mission (article 41) : 

  • de coopérer avec les autorités ;
  • de recenser et d’atténuer les risques systémiques ;
  • d’organiser la supervision des activités du service en collaboration avec l’auditeur indépendant.

Enfin, les très grandes plateformes et très grands moteurs de recherche  participent à cette supervision avec la redevance de surveillance payée à la Commission européenne pour que celle-ci effectue ses missions. 

Supervision au niveau national

Au niveau national, les États membres désignent un coordinateur pour les services numériques. Ce coordinateur va être chargé de la supervision de tous les services numériques à l’exception des très grandes plateformes en lignes et des très grands moteurs de recherche et à l’exception de l’ouverture d’une procédure par la Commission. La mission de ces coordinateurs est double : 

  • La surveillance : essentiellement des pouvoirs d’enquête (inspections et demande d’information) ;
  • L’exécution : essentiellement des mesures d’exécution comme une injonction de cessation d’infraction, injonction à agir, imposition d’amendes ou d’astreintes. 

Supervision au niveau européen

Au niveau européen, on retrouve deux acteurs : le Comité européen des services numériques et la Commission européenne. Le Comité européen des services numériques est composé des coordinateurs pour les services numériques nationaux et est présidé par la Commission européenne. Il a pour mission principal de soutenir la Commission européenne et les coordinateurs en contribuant notamment à la coordination des enquêtes conjointes ou encore en aidant à analyser les informations transmises aux autorités. 

Les pouvoirs de la Commission européenne dans le cadre du règlement 

La Commission européenne, quant à elle, devient, à la demande des États membres, le centre de gravité du dispositif de supervision du règlement :

  • Elle est seule compétente pour superviser les très grands services : elle a une prérogative exclusive de « surveiller et faire respecter » les obligations de gestion des risques systémiques imposées aux fournisseurs des très grands services ; 
  • Elle est impliquée pour les autres services puisqu’elle coordonne la supervision de la totalité du règlement avec les coordinateurs nationaux. La règle est que le coordinateur national peut ouvrir une enquête et dispose des pouvoirs de surveillance et d’exécution dans l’Etat membre dans lequel se situe l’établissement principal du fournisseur de services, si la Commission européenne n’a pas déjà ouvert une enquête
  • Le règlement requiert une procédure minutieuse : la Commission peut procéder à des demandes d’information, mener des entretiens, peut effectuer des inspections, prendre des mesures provisoires, proposer à la plateforme de prendre des engagements…
  • Les sanctions sont progressives en fonction de la gravité et de la répétition du non-respect envers les obligations imposées par le DSA. Après avoir adopté une décision constatant un manquement d’une très grande plateforme ou d’un très grand moteur de recherche, qui n’a pas pris les mesures pour se conformer aux obligations imposées par le règlement, la Commission européenne peut:
  • Infliger une amende pouvant aller jusqu’à 6% du chiffre d’affaires mondial annuel réalisé au cours de l’exercice précédent ;
  • Infliger des astreintes pouvant jusqu’à 5% des revenus ou du chiffre d’affaires mondial journaliers moyens de l’exercice précédent par jour, calculées à compter de la date qu’elle fixe dans sa décision pour les contraindre ;
  • Demander à l’autorité judiciaire compétente de l’Etat membre d’établissement (via le coordinateur national) d’ordonner une restriction temporaire de l’accès des destinataires aux services concernés, ou lorsque cela n’est pas possible, à l’interface en ligne dans sa totalité. La restriction d’accès s’applique pour une durée de quatre semaine avec des hypothèses de prolongation (le nombre maximum est fixé par l’autorité judiciaire).

Les procédures actuellement en cours au titre du Digital Services Act

La liste des procédures en cours au titre du DSA est disponible ici.  

Détails

Date de publication
27 février 2025
Auteur
Représentation en France