B. LA PROPOSITION DE LÉGISLATION SUR LES SERVICES NUMÉRIQUES PRÉCISE LES CONDITIONS DE MISE EN oeUVRE DE LA DIRECTIVE SUR LE COMMERCE ÉLECTRONIQUE ET INTRODUIT DE NOUVELLES OBLIGATIONS POUR LES OPÉRATEURS DE SERVICE EN LIGNE
1. Une approche fondée sur le risque, adaptée au nouvel écosystème numérique
a) Les principes clefs de la directive sur le commerce électronique de 2000 sont maintenus
Le texte ne remet pas en cause le principe de responsabilité limitée des fournisseurs de services intermédiaires, en particulier des hébergeurs (art. 5), repris de l'article 14 de la directive sur le commerce électronique 27 ( * ) : ces derniers ne peuvent être tenus responsables des informations présentes sur leurs services, sauf si, ayant eu connaissance de leur caractère illicite, ils n'ont pas agi promptement pour les retirer ou les rendre inaccessibles.
Corollairement, est réaffirmée l' interdiction de surveillance généralisée des contenus par les fournisseurs de services intermédiaires en ligne (art. 7) 28 ( * ) . Le seul fait, pour les fournisseurs, de se livrer à la recherche et à la modération de contenus illicites ne les rend pas par nature inéligibles à l'exemption de responsabilité (art. 6 : clause dite « du bon Samaritain » ), affermissant un principe établi dans la directive de 2000 29 ( * ) et confirmé par la jurisprudence 30 ( * ) .
Le texte ne comporte pas de définition des contenus « illicites » , renvoyant aux législations européennes et nationales pertinentes.
Il est sans préjudice des législations pertinentes de l'Union sur la protection des données à caractère personnel et la confidentialité des communications , qu'il vient compléter sans les modifier, ni des différentes législations européennes sectorielles visant à protéger des catégories spécifiques de contenus, notamment la directive sur le droit d'auteur 31 ( * ) et la directive sur les services de médias audiovisuels 32 ( * ) .
b) Une approche par le risque, adaptée aux nouveaux acteurs du monde numérique
La proposition adopte une double approche fondée, pour les contenus illicites, sur le renforcement des obligations concrètes de modération , et, pour les contenus illicites et les contenus licites susceptibles d'être préjudiciables, sur des obligations de vigilance ( due diligence ) , notamment en matière de transparence et de moyens.
Ces obligations sont graduées en fonction de la nature et de la taille des fournisseurs de services en ligne concernés.
Ainsi, le texte impose à l' ensemble des fournisseurs de services intermédiaires un certain nombre de prescriptions (chap. III, section 1), telles que la désignation d'un point de contact unique (art. 10) et de représentants légaux (art. 11) dans l'Union, ainsi que des obligations de transparence minimales concernant les conditions générales d'utilisation (art. 12) et de retrait de contenus (art. 13), et l'obligation de répondre aux injonctions d'agir contre des contenus illicites et de fournir des informations émanant d'autorités nationales administratives ou judiciaires (art. 8 et 9).
En ce qui concerne les hébergeurs, la proposition distingue en leur sein une nouvelle catégorie d'acteurs, les « plateformes en ligne » 33 ( * ) , définies comme des hébergeurs qui, en plus de stocker des informations, les diffusent au public (art. 2 (h)) 34 ( * ) .
Le texte prévoit donc, en plus des obligations communes à tous les fournisseurs de services intermédiaires, des obligations applicables aux seuls hébergeurs (chap. III, section 2), auxquelles s'ajoutent des obligations supplémentaires pour les seules plateformes (chap. III, section 3)
Enfin, des obligations renforcées , notamment des obligations de vigilance, sont prévues pour les très grandes plateformes , définies comme dépassant un seuil de 45 millions d'utilisateurs, susceptibles de représenter des risques systémiques (chap. III, section 4).
2. L'introduction de nouvelles obligations positives pour les fournisseurs de services en ligne
a) Des obligations en matière de retrait des contenus illicites
(1) Un mécanisme de notification et action permettant d'engager plus facilement la responsabilité des intermédiaires
Afin de permettre aux utilisateurs de signaler des contenus illicites, l'ensemble des hébergeurs sera tenu de mettre en place un « mécanisme de notification et d'action » facilitant la soumission par voie électronique d'un socle minimal d'informations permettant l'identification du contenu et l'appréciation de son caractère illicite (art. 14). Ces notifications devraient être traitées par les fournisseurs « en temps opportun » (art. 14 (6)).
Ce mécanisme permettra d' engager plus facilement la responsabilité des hébergeurs , s'ils ne retirent pas rapidement un contenu illicite dûment notifié. En effet, l'une des conditions permettant d'engager leur responsabilité étant leur connaissance effective de la présence d'un tel contenu et de son caractère illicite, l'obligation faite aux hébergeurs de retirer un contenu illicite dépend concrètement de la possibilité de les informer de ces deux éléments 35 ( * ) . Or l'imprécision de la directive sur le commerce électronique sur la notion de « connaissance effective » avait abouti à ce qu'en 2019, neuf États membres seulement avaient mis en place un tel mécanisme de notification et action 36 ( * ) , seuls quatre d'entre eux ayant en outre précisé dans leur législation les informations minimales requises.
|
La procédure de retrait des contenus illicites en France Actuellement, en France, la procédure de demande de retrait de contenus illicites en ligne est régie par l'article 6 de la loi pour la confiance dans l'économie numérique (LCEN) 37 ( * ) : le retrait du contenu litigieux doit d'abord être demandé à son auteur, s'il est joignable ; en cas de refus, ou si l'auteur est injoignable, le retrait peut être demandé à l'hébergeur. En cas de refus explicite de l'hébergeur de retirer un contenu illicite à la suite d'une notification respectant le formalisme décrit au 5 du I dudit article, ou en l'absence de réponse, il est possible de porter plainte contre l'hébergeur, sur la même base légale que contre l'auteur du contenu incriminé. La responsabilité de l'hébergeur ne peut cependant, dans ce cas, être engagée que si le contenu qui n'a pas été retiré était « manifestement illicite ». L'auteur du contenu peut, lui, faire l'objet d'une plainte (éventuellement contre X) parallèlement à la procédure de demande de retrait. En cas d'urgence et de préjudice évident, il est possible de demander à un juge de statuer selon la procédure accélérée au fond (8 du I de l'article 6 de la LCEN), pour faire retirer un contenu par l'hébergeur, sans que ce dernier soit pour cela sanctionné pénalement, cette procédure remplaçant le référé depuis l'entrée en vigueur de la loi confortant le respect des principes de la République, en août 2021. |
(2) Une meilleure information des utilisateurs du service
Les hébergeurs devront informer les utilisateurs dont les contenus seront retirés des motifs et circonstances du retrait - que ce dernier fasse suite à une notification ou résulté d'une détection par d'autres moyens, y compris des moyens automatisés (art. 15) -, et des voies de recours.
Les plateformes en ligne devront en outre mettre en place un système interne de traitement des réclamations (art. 17) ; leurs utilisateurs pourront également saisir, en cas de litige, des organes de règlement extrajudiciaire des litiges impartiaux et indépendants 38 ( * ) (art. 18). Afin de faciliter leur utilisation par les bénéficiaires du service, ils doivent être faciles d'accès et, pour les seconds, non onéreux.
Est également institué un statut de « signaleurs de confiance » ( trusted flaggers ) (art. 19), dont les plateformes en ligne devront traiter les notifications en priorité , notamment d'un point de vue des délais. Ce statut est déjà reconnu, souvent de gré à gré, par un certain nombre de plateformes, dans le cadre des codes de conduite. Le règlement prévoit que ce statut sera accordé par les autorités du pays d'établissement de l'entité qui en fera la demande, moyennant des critères d'expertise dans la détection, l'identification et la notification des contenus illicites, d'indépendance et de représentation des intérêts collectifs.
Enfin, les plateformes seront autorisées à suspendre les comptes fournissant fréquemment des contenus manifestement illicites (art. 20 (1)), ainsi que le traitement des notifications des utilisateurs, en cas d'utilisation abusive (art. 20 (2 et 3)).
b) Des obligations de transparence renforcées
(1) En matière de modération des contenus, pour l'ensemble des intermédiaires
Le texte introduit des obligations de transparence accrues, graduées en fonction de leur nature et de la taille des opérateurs. Sont ainsi prévues :
- pour l'ensemble des intermédiaires, une base commune d'obligations en matière de transparence :
o mention claire, dans les conditions générales d'utilisation (CGU) , des politiques, procédures et outils de modération , en précisant les cas où la prise de décision est fondée sur des algorithmes et les cas de réexamen par un humain (art. 12) ;
o publication annuelle d'un rapport sur les modalités et les résultats de leurs activités de modération (y compris la modération volontaire) 39 ( * ) (art. 13) ;
- pour les plateformes 40 ( * ) , en outre : l'obligation d'ajouter dans le rapport sur la modération des informations sur les litiges transmis aux organes de règlement extrajudiciaire des litiges, le nombre de suspensions de comptes, ainsi que le recours à des moyens automatisés de traitement (art. 23) ;
- pour les très grandes plateformes : une publication du rapport semestrielle, et non annuelle (art. 33 (1)).
(2) En matière de publicité
Le règlement prévoit que, sur les plateformes en ligne, les utilisateurs devront être informés clairement et en temps réel du caractère publicitaire des annonces , de l'identité de l'annonceur, ainsi que des paramètres de ciblage utilisés (art. 24).
En outre, les très grandes plateformes devront mettre en place un registre public des publicités diffusées sur leurs services, accessible en ligne, contenant notamment l'identité de l'annonceur, les principaux paramètres de ciblage et le nombre d'utilisateurs touchés, ventilés le cas échéant selon ces paramètres (art. 30).
c) Des obligations renforcées pour les très grandes plateformes
Considérant que les très grandes plateformes en ligne opérant à l'échelle européenne sont susceptibles d'engendrer des risques sociétaux aux effets négatifs disproportionnés, du fait de leur caractère systémique, la proposition les soumet à des obligations supplémentaires.
(1) Évaluation et atténuation des risques systémiques
Les très grandes plateformes seront soumises à des obligations de transparence renforcées en ce qui concerne les risques systémiques susceptibles d'être causés par le fonctionnement et l'utilisation de leurs services : ces risques devront être évalués annuellement , dans les domaines de la diffusion de contenus illicites , des atteintes aux droits fondamentaux (notamment liberté d'expression, vie privée, discrimination, droits de l'enfant), et de la manipulation intentionnelle de leurs services susceptibles d'impacter négativement la santé publique, les mineurs, la sécurité publique ou le fonctionnement démocratique (art. 26).
Elles devront mettre en oeuvre des mesures d'atténuation de ces risques systémiques (art. 27).
L'ensemble de ces éléments devrait être rendu public, de même que les rapports d'audit concernant le respect par les très grandes plateformes de leurs obligations au titre du règlement (art. 33).
(2) Procédures d'aide au respect du règlement
Chaque très grande plateforme devra nommer un responsable de la conformité , chargé en première approche de contrôler qu'elle respecte ses obligations au titre du règlement (art. 32).
Les très grandes plateformes seront en outre soumises chaque année, à leurs frais, à un audit indépendant , afin de vérifier leur respect des obligations prévues par le règlement, mais aussi de leurs engagements dans le cadre des codes de conduite volontaires (art. 28). Elles devront dûment tenir compte des recommandations consécutives à cet audit, sauf à se justifier.
(3) Mesures de transparence complémentaires pour les systèmes de recommandation et les données
Les très grandes plateformes devraient indiquer clairement à leurs utilisateurs les principaux paramètres de leurs systèmes algorithmiques de recommandation et leur permettre de les modifier (art. 29).
Par ailleurs, elles seraient tenues de rendre leurs données accessibles aux autorités de régulation et de contrôle nationales et européennes compétentes, aux fins de contrôle du respect du règlement, ainsi qu' aux chercheurs travaillant sur l'identification et la compréhension des risques systémiques présentés par les très grandes plateformes (art. 31).
3. Un système de contrôle et de sanctions à deux étages
a) Au niveau national, la création d'un coordinateur pour les services numériques
Afin d'assurer la bonne mise en oeuvre du règlement, ce dernier crée dans chaque Etat membre un « coordinateur pour les services numériques » (CSN - en anglais digital services coordinator ( DSC ) ), chargé de la coordination au niveau national de l'application et du contrôle du règlement, et de la coopération avec ses homologues, au sein d'un Comité européen des services numériques, et avec la Commission européenne (art. 38 et 39).
Chaque CSN est doté, à l'endroit de chacun des fournisseurs de services intermédiaires établi dans son État membre, de pouvoirs d'enquêtes pour infractions supposées au règlement - y compris pouvoirs d'interrogatoire et d'inspection sur site (art. 41 § 1), et d'accès aux données nécessaires (art. 31 (1)), ainsi que de pouvoirs d'exécution (art. 41 § 2), lui permettant de prendre des mesures provisoires en cas de risque de préjudice grave, d'accepter des engagements, de prendre des mesures correctives pour faire cesser une infraction, et d'imposer des amendes et des astreintes.
Le montant de ces dernières est déterminé par chaque État membre, à concurrence, respectivement, de 6 % du chiffre d'affaire annuel mondial et 5 % du chiffre d'affaires quotidien (art. 42).
En dernier recours, et en cas d'infraction pénale grave impliquant une menace pour la vie ou la sécurité des personnes, le CSN est investi du droit de demander à l'autorité judiciaire compétente d'ordonner la limitation temporaire de l'accès des utilisateurs concernés par l'infraction, ou la limitation temporaire (et renouvelable) du service lui-même (art. 41 (3)), après procédure contradictoire.
b) La Commission européenne jouerait un rôle de recours, en ce qui concerne la juridiction sur les très grandes plateformes
Compte tenu des risques spécifiques qu'elles posent, des dispositions spécifiques régiraient le contrôle des très grandes plateformes (chap. IV, section 3).
Un système de « surveillance renforcée » serait ainsi mis en oeuvre par le CSN compétent s'il estime qu'une très grande plateforme a enfreint l'une des obligations spécifiques aux très grandes plateformes établies dans la section 4 du chapitre III du règlement, avec le soutien de la Commission et du Comité. Au terme de cette procédure, si l'infraction n'a pas cessé, la Commission prendrait prendre le relais du CSN (art. 50 (4)).
Elle pourrait également intervenir de sa propre initiative , sur recommandation du Comité (art. 51), ou sur demande du CSN du pays d'établissement de la très grande plateforme (art. 46 (2)).
La Commission serait dotée, envers les très grandes plateformes, de prérogatives étendues en matière d'enquêtes - y compris pouvoirs d'interrogatoire et d'inspection sur site (art. 52 à 54), ainsi que d'accès aux données, algorithmes et systèmes informatiques et aux explications concernant ces dernières (art. 54 (3) et 31 (1)).
Elle est également habilitée à prendre des mesures provisoires , en cas de risque de préjudice grave (art. 55), accepter des engagements (art. 56) et prendre des mesures de contrôle pour s'assurer de la bonne mise en oeuvre du règlement par une très grande plateforme (art. 57).
S'il apparaît que les règles posées par le règlement ou les engagements pris par une très grande plateforme n'ont pas été respectées (art. 58), la Commission pourra infliger des amendes , à concurrence de 6 % du chiffre d'affaire annuel mondial (art. 59), et des astreintes, à concurrence de 5 % du chiffre d'affaire quotidien (art. 60).
Le montant des amendes qui pourront être infligées par le CSN compétent ou par la Commission aux fournisseurs de services intermédiaires en cas d'infraction est ainsi bien supérieur à ceux prévus dans la loi française avant la « pré-transposition » du DSA en août 2021 41 ( * ) , et paraissent tout à fait dissuasifs.
* 27 Excepté lorsque, pour les plateformes de vente en ligne, le consommateur « peut être amené à croire que les informations, le produit ou le service » sont fournis directement par la plateforme, et non par un vendeur tiers (art. 5.3)).
* 28 L'article 15 de la directive sur le commerce électronique posait déjà une telle interdiction.
* 29 Considérant 40 : « Les dispositions de la présente directive sur la responsabilité ne doivent pas faire obstacle au développement et à la mise en oeuvre effective, par les différentes parties concernées, de systèmes techniques de protection et d'identification ainsi que d'instruments techniques de surveillance rendus possibles par les techniques numériques, dans le respect des limites établies par les directives 95/45/CE et 97/66/CE. ».
* 30 Affaires C-360/10, SABAM c/ Netlog NV, 16 février 2012 et C-70/10, Scarlet Extended SA contre Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), 24 novembre 2011.
* 31 Directive (UE) 2019/790 précitée.
* 32 Directive (UE) 2010/13/UE, modifiée .
* 33 Tandis qu'aux termes de la directive sur le commerce électronique, l'hébergeur se contentait de « stocker des informations fournies par un destinataire du service » (art. 14 (1)).
* 34 En France, la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a imposé des obligations particulières à une catégorie particulière de services de communication au public en ligne reposant sur un service de classement, de référencement ou de mise en relation, appelés opérateurs de plateforme en ligne (Code de la consommation, nouvel article L. 111-7).
* 35 La CJUE a eu l'occasion de préciser qu'il était nécessaire, pour que la responsabilité d'un hébergeur puisse être engagée, qu'il ait non seulement une connaissance de l'existence d'un contenu illicite, mais également de son caractère illicite (aff. C-326/08 à C6238/08 précitées), et que cette connaissance, pour être effective, devait avoir fait l'objet d'une notification suffisamment précise et étayée (aff. C-324/09 précitée).
* 36 Allemagne, Espagne, Finlande, France, Grèce, Hongrie, Italie, Lituanie et Suède ; excepté pour l'Allemagne, la France, la Lituanie et la Suède, le mécanisme ne concerne que les infractions au droit d'auteur (étude d'impact précitée, p. 94).
* 37 Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ; les infractions en matière de terrorisme, pédophilie, crime contre l'humanité suivent une procédure particulière.
* 38 Certifiés par les autorités du pays d'origine du service.
* 39 Sauf pour les microentreprises et petites entreprises, au sens de la recommandation 2003/361/CE.
* 40 À l'exception des microentreprises et petites entreprises, au sens de la recommandation 2003/361/CE.
* 41 375 000 € maximum, pour une personne morale, en cas de manquement aux obligations établies par l'article 6 de la LCEN ; la loi sur le respect des principes de la République a introduit dans la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, depuis août 2021, une amende maximale, pour les grandes plateformes ciblant le territoire français, correspondant à 6 % de leur chiffre d'affaire annuel mondial.