Avec le Digital Services Act (DSA), l'Europe renforce son arsenal législatif pour protéger ses citoyens des abus et des dérives des fournisseurs de contenus et de services en ligne. Un règlement qui encadrera les pratiques des géants de la tech.

Mark Zuckerberg, le patron de Meta, Elon Musk, le nouveau propriétaire de Twitter, n'en ont pas rêvé. Mais l'Europe l'a fait. Le 23 avril 2022, quelques semaines après le DMA (Digital Market Act, voir notre article), le Conseil et le Parlement européen ont trouvé un accord officiellement qualifié d'historique sur le DSA (Digital Services Act, ou Législation sur les services numériques en français), un nouveau cadre réglementaire européen qui, comme son cousin législatif, le DMA, devrait entrer en vigueur en 2023 et profondément affecter nos vies numériques. Comme le souligne la rapporteure du texte au Parlement européen, Christel Schaldemose, ce règlement a deux finalités : "garantir que ce qui est illégal hors ligne le soit également en ligne" et "fixer de nouvelles normes internationales grâce auxquelles les citoyens auront un meilleur contrôle sur la manière dont leurs données sont utilisées sur les plateformes en ligne et par les grandes entreprises technologiques". sur Tweeter, Ursula von der Leyen, la présidente de la Commission européenne, a estimé que "cet accord historique va protéger les utilisateurs en ligne, permettre la liberté d'expression et de nouvelles opportunités pour les entreprises".

Digital Services Act : le complément du Digital Market Act

L'adoption d'un tel texte était plus que jamais nécessaire, tant l'arsenal législatif européen commençait à dater. Lutte contre la cyberviolence, lutte contre la contrefaçon, lutte contre la manipulation de l'information, protection de la liberté d'expression, responsabilisation des plateformes (Facebook, Google…) et des places de marché en ligne (Amazon…) : le DSA vise tout à mieux prévenir les dérives des grands groupes technologiques en encadrant plus strictement leurs activités mais aussi à mettre en place des règles de protection uniques qui s'appliqueront dans tous les pays membres de l'Union européenne et, par extension, dès que des internautes et des citoyens européens seront concernés. Après le RGPD, l'adoption successive du DMA et du DSA renforce l'image d'une Europe régulatrice de l'Internet, à défaut d'avoir été en capacité d'endiguer l'hégémonie technologique de pays comme la Chine ou les États-Unis. Comme disait Jean Cocteau: "puisque ces mystères me dépassent, feignons d'en être l'organisateur."

DSA : une protection renforcée pour les consommateurs européens

Concrètement, voici ce que le DSA va changer pour les internautes français et européens. Tout d'abord, d'un point de vue général et c'est une nouveauté importante, l'Europe va imposer un principe de transparence aux plateformes et aux services en ligne qui comptent plus de 45 millions d'utilisateurs sur le continent en les contraignant à ouvrir leurs algorithmes, autrement dit une grande part de leurs secrets de fabrication, tant aux Etats membres qu'à la Commission européenne. Si le DSA entend renforcer la protection des droits fondamentaux (des individus) en ligne en mettant notamment l'accent sur le respect de la liberté d'expression, dans les limites définies par la loi, et de la protection des données personnelles, ce nouveau cadre législatif vise également à mieux lutter contre la diffusion de contenus illicites en ligne. Des contenus, ce peut être des messages à caractère diffamatoires mais aussi des biens ou des services. Une procédure de notification permettra aux utilisateurs de signaler du contenu illicite en ligne et obligera les plateformes en ligne à réagir rapidement. Corollaire de ce dispositif, la lutte contre la contrefaçon en ligne.

Dans ce domaine, l'Europe met la pression sur les places de marché et les grands acteurs du commerce en ligne. Ceux-ci devront s'assurer que les consommateurs puissent acheter des produits et services en ligne sûrs, en renforçant les contrôles permettant de prouver que les informations fournies par les vendeurs sont fiables (principe de ''connaissance du client''), et ils devront faire des efforts pour prévenir l'apparition de contenus illicites sur leurs plateformes, notamment via des contrôles aléatoires.

DSA : des sanctions contre toutes les cyber-violences  

Autre volet important, la lutte contre toutes les formes de cyber-violence (harcèlement, "revenge porn"), dans ce type d'affaires, à partir du moment où un signalement sera effectué le retrait des contenus incriminés devra être immédiat. Pour les contrevenants et les récidivistes, c'est-à-dire pour les plateformes et pour les moteurs de recherche qui prendraient trop de libertés avec la nouvelle législation, l'Europe a prévu un régime de sanctions qui pourraient très rapidement s'avérer assez dissuasif. En guise de pénalité, les entreprises concernées pourront ainsi se voir infliger une amende pouvant aller jusqu'à 6% du chiffre d'affaires mondial. Et concernant les très grandes plateformes (disposant de plus de 45 millions d'utilisateurs), la Commission européenne aura le pouvoir exclusif d'exiger le respect des règles quand les autorités nationales superviseront l'activité des plateformes de moindre dimension.

Pour les internautes, l'adoption du DSA est également la promesse d'évoluer dans des espaces en ligne mieux sécurisés. Mauvaise nouvelle pour les plateformes qui réalisent une très grande partie de leur chiffre d'affaires via la publicité en ligne, les utilisateurs pourront mieux contrôler la manière dont leurs données personnelles sont utilisées et de nouvelles obligations en matière de transparence pèseront sur les plateformes : les utilisateurs devront ainsi être mieux informés de la manière dont les contenus leur seront recommandés (''systèmes de recommandation'') et ils pourront choisir au moins une option qui ne soit pas fondée sur le profilage. Par ailleurs, la publicité ciblée fondée sur des données sensibles (par exemple, l'orientation sexuelle, la religion ou l'origine ethnique) sera interdite. Concernant les mineurs et plus spécifiquement la protection des mineurs, les plateformes en ligne devront prendre des mesures spécifiques et notamment interdire toute publicité ciblée.

DSA : les géants d'Internet sous surveillance

Autre élément important porté par le DSA, l'interdiction des "dark patterns" ces interfaces graphiques d'applications mobiles ou de sites Internet spécialement conçues pour tromper ou manipuler les utilisateurs en donnant, par exemple, plus d'importance à un choix particulier ou en incitant le destinataire à modifier son choix via des fenêtres pop-up gênantes. Sur ce point, au-delà de l'interdiction même de ce type de pratiques, le DSA pose le principe que pour l'internaute consommateur, il devra être aussi facile de se désabonner d'un service que de s'y abonner. Le non-respect de ces obligations ouvrira un droit à compensation, c'est-à-dire le droit pour les utilisateurs, qui pourraient s'estimer lésés, à demander réparation "pour tout dommage en raison d'infractions commises", par les entreprises concernées.

Enfin, un autre volet capital du DSA tient à la lutte contre les contenus dits dangereux et contre la désinformation qui peut présenter un risque pour l'équilibre démocratique des États membres de l'Union européenne. Sur ce point, il n'est plus question pour les autorités européennes de se contenter d'un chapelet de déclarations de bonnes intentions. Face aux différentes stratégies et campagnes de déstabilisation qui ciblent régulièrement le continent européen, il était temps d'agir. Les très grandes plateformes (comprenez avant tout les réseaux sociaux comme Facebook et Twitter) devront évaluer et atténuer les risques systémiques et se soumettre chaque année à des audits indépendants. En outre, celles qui utilisent des ''systèmes de recommandation'' (des algorithmes qui déterminent ce que les utilisateurs voient) devront fournir au moins une option qui ne soit pas fondée sur le profilage des utilisateurs. Dernière mesure : en cas de crise, telle qu'un danger pesant sur la sécurité ou la santé publique, la Commission pourra exiger des très grandes plateformes qu'elles circonscrivent toute menace urgente sur leurs plateformes. Ces actions spécifiques seront limitées à une période de trois mois.

DSA : entrée en vigueur dès 2023

Si un accord de principe a été trouvé entre le Conseil et le Parlement européens, quelques étapes restent encore inscrites au calendrier. Le texte devra être finalisé au niveau technique et vérifié par les juristes-linguistes avant que le Parlement et le Conseil ne donnent leur accord formel. Une fois la procédure terminée, il entrera en vigueur 20 jours après sa publication au Journal officiel de l'UE, et les règles commenceront à s'appliquer 15 mois plus tard. Parallèlement, du 23 au 27 mai 2022, il est prévu qu'une délégation de la commission du marché intérieur du Parlement européen visite plusieurs sièges d'entreprises (Meta, Google, Apple...) dans la Silicon Valley afin d'échanger au sujet du "paquet législatif" sur les marchés numériques et sur d'autres législations en préparation, et d'entendre la position des entreprises de la technologie qui, on le pressent, ne seront pas forcément toujours très enthousiastes à l'idée de se plier aux nouvelles contraintes juridiques et réglementaires imposées par l'Union européenne.