Les cinq piliers du plan de bataille de la Commission européenne pour faire plier les Gafa
Le Digital Services Act et le Digital Markets Act viennent d'être présentés par la Commission européenne. Ces textes ont pour objectif de réviser l'ensemble des principes qui s'appliquent aux services numériques, de la publication d'un contenu illicite sur un réseau social à la vente de produits via une marketplace. L'Usine Digitale propose un condensé des mesures phares de cette nouvelle réglementation qui devrait entrer en vigueur dans un an minimum.
Alice Vitard
La Commission européenne vient de publier ses deux projets de règlements, le Digital Services Act (DSA) et le Digital Markets Act (DMA), qui ont pour objectif de refondre totalement la régulation du numérique au sein du marché intérieur de l'UE.
Dans la ligne de mire de l'exécutif : les grandes entreprises technologiques telles qu'Amazon, Apple, Facebook ou Google, accusées d'abuser de leurs positions dominantes et d'étouffer la concurrence.
Encadrés par la directive e-commerce de 2000, les services numériques ont pris une place majeure au sein de l'économie, ce qui rend les règles actuelles obsolètes. "De même que nous avons régulé les grandes banques dites 'systémiques' après la crise de 2008, nous régulerons désormais les plateformes numériques, avec, comme pour les banques, des obligations graduées suivant leur taille", explique le commissaire européenne Thierry Breton, porteur de ce texte, lors d'une interview accordée aux Echos.
Intégrés au sein d'un même paquet législatif, le Digital Services Act et le Digital Markets Act ne doivent pas être confondus. Le DSA définit des règles sur la responsabilité des plateformes pour réguler les contenus en ligne. De son côté le DMA vise à "organiser la vie économique et favoriser un fonctionnement équitable dans l'espace numérique", selon Thierry Breton.
Voici les 5 grands principes au cœur de cette nouvelle réglementation.
1- La responsabilité des plateformes en ligne
Le régime actuel distingue les éditeurs et les intermédiaires pour leur attribuer des obligations différentes concernant la gestion des contenus en ligne. Ainsi, les éditeurs sont responsables de tous les contenus figurant sur leur site internet. Par conséquent, ils peuvent être déclarés responsables non seulement pour ce qu’ils écrivent eux-mêmes, mais également dans une certaine mesure pour les commentaires des participants.
A contrario, la responsabilité des hébergeurs ou intermédiaires techniques, le statut attribué aux plateformes en ligne telles que Facebook, ne peut être engagée que dans deux hypothèses : lorsque celui-ci ne retire pas promptement un contenu manifestement illicite qui lui a été signalé par un tiers et lorsqu'il ne retire pas un contenu dont le retrait a été exigé par juge.
Avec le DSA, ces grands principes restent globalement inchangés. Mais la Commission européenne a modernisé les concepts. "Elle est sortie de la dualité entre éditeur et hébergeur", détaille Patrice Navarro, avocat spécialisé en droit des nouvelles technologies au sein du cabinet Hogan Lovells, à L'Usine Digitale.
Désormais, il existe quatre types d’intermédiaires : les fournisseurs d’accès Internet (FAI), les hébergeurs, les plateformes et les plateformes dites "très grandes", soit celles qui ont plus de 45 millions d'utilisateurs (10 % de la population de l'Union européenne). Chaque acteur a ses propres obligations. En sachant que plus l'acteur est massif et a d'impact, plus il aura de responsabilités.
Dans le détail, les hébergeurs doivent "mettre en place des mécanismes permettant à toute personne ou entité de les informer de la présence (...) d'un contenu illégal", peut-on lire dans le texte. Ces mécanismes doivent être "faciles d'accès" et permettre "la soumission des notifications exclusivement par des moyens électroniques".
Les plateformes, définies comme un hébergeur qui "stocke et dissémine de l'information au public", sont tenues de mettre en place un dispositif de règlement interne des litiges. Les très grandes plateformes, celles qui ont plus de 45 millions d'utilisateurs, ont une couche supplémentaire d'obligations à respecter. Elles doivent évaluer chaque année les risques qu’elles posent pour les droits fondamentaux et la sécurité de leurs utilisateurs et informer les autorités compétences sur les mesures prises pour les atténuer.
Le texte rappelle également l'interdiction d'imposer une surveillance généralisée des contenus en ligne, principe qui a été érodé par une décision rendue le 3 octobre 2019. La Cour de justice de l'Union européenne (CJUE) a décidé que les hébergeurs devaient supprimer tous les commentaires "identiques" jugés précédemment comme "illicites", voire les contenus "équivalents" dans le monde entier.
2 - Les obligations des "gatekeepers"
Comme l'a souvent rappelé Thierry Breton, l'objectif du DMA est de pouvoir contrôler les pratiques des grandes entreprises technologiques avant qu'elles ne deviennent problématiques. Le texte présente donc une série d'obligations et d'interdictions que devront respecter les "gatekeepers", c'est-à-dire des entreprises de nature "systémiques" ayant un impact significatif sur le marché. Même si aucune liste n'est dressée, les cibles sont les grandes entreprises comme Amazon ou Facebook.
Les gatekeepers, terme qui désigne une entité capable d'autoriser ou d'interdire l'accès à une ressource, devront permettre à des tiers "d'interagir" avec leurs propres services et autoriser les utilisateurs professionnels à accéder aux données qu'ils génèrent lors de leur utilisation de la plateforme. Ils ne pourront pas "traiter leurs services et produits (...) plus favorablement dans le classement que les services ou produits similaires proposés par des tiers", "empêcher les consommateurs de se connecter à des entreprises en dehors de leurs plateformes" et leur interdire de désinstaller des logiciels ou applications préinstallés.
Pour veiller au respect de ces règles, la Commission pourra mener "des enquêtes de marché ciblées" pour déterminer s'il y a lieu, le cas échéant, d'intégrer dans les règles de nouvelles pratiques et de nouveaux services de ces "contrôleurs d'accès", afin de suivre l'évolution de l'écosystème.
3 - Un principe de supervision pour les marketplaces
La Commission européenne souhaite également imposer de nouvelles obligations aux marketplaces pour faire respecter le droit de la consommation. Ainsi, la DMA introduit une obligation d'identification des partenaires commerciaux ("know your business customer"), principe très courant dans le secteur bancaire et financier.
"Le texte prévoit que les marketplaces devront vérifier que les vendeurs tiers respectent les conditions conformes au droit applicable", analyse Patrice Navarro. Si le professionnel ne corrige pas ou ne complète pas ces informations, la plateforme en ligne devra suspendre "la fourniture de son service au professionnel jusqu'à ce que la demande soit satisfaite", note le texte.
Pour l'avocat, ce nouveau principe va être très compliqué à mettre en oeuvre en pratique. "Le texte demande aux marketplaces de mener des procédures KYC et des vérifications des conditions générales des vendeurs sur leurs plateformes qui sont assez complètes. C'est une très grosse responsabilité", explique le juriste. Cette nouvelle exigence ne devrait pas être du goût des places de marché, Amazon en tête.
4 - La mise en place d'Une autorité de coordination
Chaque Etat membre devra mettre en place "un coordinateur des services numériques", c'est-à-dire une autorité chargée de superviser la transposition des textes au niveau national. A l'instar des autorités de protection des données instaurées par le RGPD, il devra notamment vérifier le nombre d'utilisateurs des plateformes tous les six mois et pourra forcer les sociétés à fournir l’accès aux données permettant de "surveiller et évaluer" le respect des règles.
Ce sont ces autorités qui recevront les plaintes introduites contre les plateformes. A noter qu'en dernier recours, le coordinateur pourra demander à la justice d’ordonner le blocage du service ou alors de l’intermédiaire par lequel il passe.
Du côté de l'Hexagone, "Thierry Breton avait laissé entendre qu'il s'agirait du Conseil Supérieur de l'Audiovisuel (CSA), qui est un peu en perte de vitesse", indique Patrice Navarro. Et pourquoi pas créer une nouvelle instance ? "Rajouter une nouvelle autorité n'est pas forcément une bonne idée car cela rajouterait une couche de complexité", estime-t-il.
Pour coordonner les décisions adoptées au niveau de chaque Etat, le texte prévoit l'instauration d'un "comité des coordinateurs nationaux", comme le Comité européen de la protection des données (EDPB) qui est chargé de chapeauter l'application cohérente du RGPD.
5 - les sanctions en cas de violation de la législation
La partie sur les sanctions est largement renvoyée aux Etats membres. Les textes ne prévoient qu'un maximum, à la manière du RGPD.
Le DSA prévoit que le montant maximal des sanctions imposées en cas de non-respect des obligations ne doit pas dépasser 6 % des revenus ou du chiffre d'affaires annuel du prestataire de services intermédiaires concerné. Les sanctions pour "fourniture d'informations inexactes, incomplètes ou trompeuses, pour défaut de réponse ou de rectification d'informations inexactes, incomplètes ou trompeuses" ne doivent pas dépasser pas 1 % des revenus ou du chiffre d'affaires annuel du prestataire concerné.
En cas de violation des règles prévues par le DMA, le texte prévoit un montant maximal de 10 % du chiffre d'affaires total réalisé "au cours de l'exercice précédent". En cas de "récidive", ces sanctions pourront comprendre "l'obligation de prendre des mesures structurelles", pouvant aller jusqu'à la cession de certaines activités si aucune mesure de même efficacité n'est disponible pour garantir la mise en conformité. Le texte prévoit donc bien un démantèlement comme punition ultime pour les entreprises récalcitrantes.
Le début d'un long parcours
Le chantier est donc colossal car cette nouvelle législation touche à un peu près tous les secteurs de l'économie numérique, des réseaux sociaux aux marketplaces. Cette véritable "constitution numérique européenne" reste encore au stade de projet et devra être approuvée par le Parlement et le Conseil, qui réunit les ministres des Etats membres par domaine d'activité. Il faudrait compter au moins un an pour que ces textes entrent en vigueur, d'après Reuters.
Face à cette offensive, les grandes entreprises technologiques risquent de monter au créneau, à l'instar de Google qui a publié un document interne présentant un plan de sabotage du DSA sur 60 jours. Elles tentent de convaincre que des règles trop rigides seraient nuisibles à l'économie, et in fine aux consommateurs.
SUR LE MÊME SUJET
1Commentaire
Réagir