Digital Services Act : les détails de l’accord politique s’esquissent

Le Parlement et les États européens ont conclu, samedi 23 avril, l’accord politique sur le Digital Services Act, le règlement destiné à renforcer la responsabilité des plateformes sur les contenus en ligne. Les seize heures de débat ont abouti à des choix difficiles, dont l’inclusion a minima des moteurs de recherche dans le règlement, des exceptions de certaines obligations pour les PME et le renforcement des obligations des places de marché sur les produits.
21 avril 2022 à 19h12 · mis à jour le 25 avril 2022 à 7h00
Tech, Médias, Numérique
par Guénaël Pépin

La régulation des contenus sur internet a changé de visage samedi 23 avril, à 2 heures du matin. Le Parlement et le Conseil, qui représentent les États européens, ont tranché la quinzaine des points politiques encore ouverts sur le Digital Services Act lors du cinquième trilogue sur cet énorme règlement. Cela, quinze mois après la présentation du projet de règlement en décembre 2020. Un temps record, d’autant plus remarquable que les institutions ont mené le dossier de front avec le Digital Markets Act. « Personne ne croyait que nous y arriverions si vite », a rappelé la vice-présidente de la Commission chargée du Numérique, Margrethe Vestager, à la sortie du trilogue le 23 avril.

Le règlement met à jour le régime de responsabilité des intermédiaires d’internet, la directive e-commerce de 2000, en créant de nouvelles obligations spécifiques aux plateformes, désormais plus contrôlées que les simples hébergeurs. Là-dessus, le DSA ajoute des obligations de « diligence raisonnable » pour tous les intermédiaires du Net. Les très grandes plateformes, celles disposant de plus de 45 millions d’utilisateurs dans l’Union, doivent remédier aux risques systémiques qu’elles posent pour la société. Le but du règlement : rendre transparents et opposables les mécanismes de contrôle des contenus et des activités sur les plateformes, sans toucher à la qualification des contenus individuels, laissés au reste du droit européen et aux droits nationaux.

Le trilogue, démarré le 22 avril à 10 heures, a duré seize longues heures, ouvrant un débat difficile sur un « accord global » dont les contours sont restés flous la majorité du temps. Le résultat contient de nombreuses mesures a minima par rapport aux deux mandats de négociation, dans un effort de négociation crispé pendant des heures sur un point mineur du règlement, l’exemption d’obligations pour les petites entreprises, qui laisse une partie de la gauche du Parlement insatisfaite.

1. Les moteurs de recherche inclus a minima

L’inclusion dans le règlement des moteurs de recherche, qui étaient absents de la proposition de la Commission fin 2020, a été l’un de ces grands débats. C’est l’une des deux victoires du Conseil, même s’ils sont présents dans la version la plus vague possible.

Le Conseil de l’UE et la Commission voulaient créer une nouvelle catégorie d’intermédiaires spécifique à ces moteurs, pour les considérer comme de simples services de cache (moins régulés que les hébergeurs), tout en leur imposant de retirer les contenus illicites qui leur sont signalés (« notice and action »), un système jusqu’ici réservé aux hébergeurs et aux plateformes. Face à eux, plusieurs groupes au Parlement, dont les Verts et Renew, s’opposaient à cette extension du « notice and action », qui n’était pas présente dans les mandats de négociation du Parlement et du Conseil. L’idée est venue d’une proposition de la Commission lors des trilogues, estimant qu’en pratique les moteurs répondent déjà correctement à ces signalements de contenus.

L’accord politique : Les moteurs de recherche sont intégrés dans la liste des services couverts par le règlement, dans un considérant (27), selon le texte consulté par Contexte. Ils peuvent être considérés comme de très grandes plateformes. Pour des observateurs, ce choix correspond au statu quo. Le droit de quelques États membres va donc plus loin que le droit européen en les soumettant au système de signalement et de retrait de contenus illicites au-delà du droit d’auteur.

Une bataille technique ayant fait rage la nuit avant le trilogue pour aboutir sur la version adoptée lors de la réunion. Des négociateurs étaient pourtant confus à la sortie de cette nuit de travaux, ne sachant pas à quelle sauce les moteurs de recherche seraient mangés, tant les difficultés de leur inclusion étaient apparentes.

2. La publicité ciblée pour les mineurs, interdite sur toutes les plateformes

Le deuxième grand débat a concerné l’interdiction de la publicité ciblée pour les mineurs et celle fondée sur des données sensibles (comme la religion ou l’orientation sexuelle), sauf consentement explicite au sens du RGPD. À l’issue de l’accord sur le Digital Markets Act, la présidence française du Conseil s’était engagée à les interdire dans le DSA.

À partir de là, les échanges ont porté sur le champ de cette interdiction : toutes les plateformes, comme le demandait le Parlement, ou seulement les très grandes plateformes, comme le proposait prudemment le Conseil ?

L’accord politique : Comme attendu, le ciblage publicitaire des mineurs et celui fondé sur des données sensibles (sauf consentement) sont interdits pour toutes les plateformes.

En parallèle, une autre mesure vise à imposer à certains services de mieux protéger la sécurité et la vie privée des mineurs, par conception. Elle doit aussi trouver son point d’ancrage.

L’accord politique : Les plateformes doivent mettre en place les mesures appropriées pour assurer « la vie privée, la sûreté et la sécurité des mineurs » sur leurs services. L’interdiction de cibler la publicité pour les mineurs est placée ici. Ces obligations ne doivent pas amener les plateformes à traiter des données personnelles supplémentaires pour identifier les mineurs.

3. Les « dark patterns » interdites pour les plateformes

En parallèle, le blocage du règlement e-privacy, qui couvre le consentement aux collectes de données en ligne, a déporté l’interdiction des interfaces trompeuses (« dark patterns ») dans le DSA. Cette interdiction, portée à bout de bras par le Parlement, est la grande crainte de l’industrie publicitaire, selon ses lobbys. Le Parlement veut les interdire à tous les intermédiaires, alors que le Conseil choisit ses combats, en les prohibant en priorité pour les places de marché.

L’accord politique : Les « dark patterns » sont interdits pour toutes les plateformes. Selon le nouvel article 23a, la Commission doit fournir des orientations pour déterminer les pratiques interdites, en particulier la mise en avant de certains choix, les demandes répétées de donner un choix pourtant déjà donné et de rendre la désinscription d’un service plus pénible que l’inscription. Cette interdiction s’applique en parallèle de celles du RGPD et de la directive sur les pratiques commerciales déloyales de 2005.

Le point d’ancrage doit aussi être trouvé sur les obligations concernant les systèmes de recommandation. Le Parlement et le Conseil semblent s’entendre pour imposer des mesures de transparence à toutes les plateformes, concernant les principaux paramètres de classement utilisés par les algorithmes, et les options disponibles. L’obligation de fournir une version des algorithmes sans profilage pourrait n’être imposée qu’aux très grandes plateformes.

L’accord politique : Toutes les plateformes devront expliquer les principaux paramètres de leurs systèmes de recommandation. Les très grandes plateformes devront bien fournir une version de leurs algorithmes sans profilage.

4. Nouveau look pour le retrait de contenus illicites

Le retrait des contenus illicites signalés aux hébergeurs et aux plateformes est sûrement la modification la plus sensible de la directive e-commerce de 2000, et toujours en débat même après le trilogue. L’obligation pour un hébergeur de retirer promptement les contenus illicites dont il a connaissance, en vigueur depuis la directive e-commerce de 2000, divise toujours les hébergeurs et les ayants droit sur ce qui doit être imposé dans la loi. Le spectre des demandes va du simple retrait au cas par cas à partir de signalements très précis demandé par les plateformes, jusqu’au maintien hors ligne (« stay down ») de lots de contenus signalés en masse, avec un contrôle minime de l’hébergeur, réclamé par certains ayants droit.

Le débat s’est enflammé avec la position du Parlement, qui a proposé que les hébergeurs maintiennent en ligne les contenus signalés, le temps de les examiner. Les ayants droit y ont vu une incitation à maintenir en ligne des contenus illicites. Pour les rassurer, la Commission a proposé de retirer cette mesure. Le règlement indiquera très probablement que la responsabilité d’un hébergeur ne peut être engagée qu’après l’examen lui-même.

Après le trilogue : La question du retrait des contenus illicites signalés (article 14) reste ouverte au niveau technique, la discussion ayant été relancée quelques jours avant le trilogue, l’article ne convenant pas à certains négociateurs. Son sort sera en toute logique décidé lors des derniers travaux techniques restants.

Pourtant, un seul point posait vraiment problème quelques jours avant le trilogue : le Conseil renvoie dans un considérant à un standard d’examen des contenus illicites sous 24 heures. Une demande allemande pour préserver sa loi nationale sur le retrait des contenus illicites (NetzDG), qui inquiète le Parlement. Un accord a été trouvé lors de la réunion pour garantir que cette mention n’est pas contraignante.

Sujet corollaire : le Parlement veut imposer à toutes les plateformes de partage de vidéos pornographiques de lutter contre le partage de vidéos non consenties (le « revenge porn »). Le Conseil voulait l’imposer aux très grandes plateformes, dans un considérant.

L’accord politique : L’obligation pour les plateformes de partage de vidéos porno d’identifier leurs utilisateurs et de lutter contre le « revenge porn » a disparu des articles. Une référence à la « cyberviolence » a été ajoutée aux risques systémiques auxquels les très grandes plateformes doivent répondre. Cela doit couvrir en principe les obligations de modération des très grands sites porno.

Concernant les signaleurs de confiance, ceux dont les requêtes sont traitées en priorité, l’accord ouvre la voie aux signaleurs individuels, en plus des organismes représentant des intérêts collectifs. La mesure est dirigée vers des ayants droit sans représentation.

5. Des obligations pour les places de marché

Les places de marché en ligne (« marketplaces ») sont aussi l’une des grandes cibles du règlement, sous la poussée du Parlement. La rapporteure Christel Schaldemose a d’abord proposé l’implication de la responsabilité des places de marché sur des produits provenant de pays tiers, ainsi qu’une série d’obligations plus contraignantes concernant les vendeurs et les produits, avec le soutien des unions de consommateurs (le Beuc) et des ayants droit.

En bout des trilogues, la traçabilité des vendeurs tiers, l’interdiction des « dark patterns » pour les places de marché et l’obligation de fournir des informations claires au consommateur sur les produits sont les principaux points d’accord. Lors du trilogue, le débat a porté désormais sur le niveau de contrôle que les places de marché doivent exercer sur les produits, en particulier l’obligation de mener des contrôles aléatoires des produits.

L’accord politique : Les places de marché doivent fournir leurs « meilleurs efforts » pour vérifier que les informations fournies par les vendeurs tiers sur les produits sont correctes avant leur mise en vente. Ils doivent bien mener des contrôles aléatoires sur les produits, pour voir s’ils ont déjà été identifiés comme illicites sur des bases « officielles et d’accès gratuit ». Dans un considérant, le DSA indique que la Commission doit encourager la traçabilité des produits via des QR codes signés ou des jetons non fongibles (NFT).

6. Les obligations des plateformes en balance

Concernant l’ensemble des plateformes, deux demandes du Parlement étaient dans la balance de l’accord global attendu lors du trilogue.

D’un côté, les eurodéputés demandaient que les États ne limitent pas la possibilité des utilisateurs à utiliser anonymement un service, qu’ils n’interfèrent pas avec le chiffrement et qu’ils n’imposent pas le filtrage des contenus par des outils automatisés.

L’accord politique : Selon deux sources parlementaires, les demandes des eurodéputés ont été abandonnées sur ces articles 7 et 7a.

De l’autre côté, le Parlement demandait une dérogation aux obligations imposées aux plateformes pour les PME, au lieu des seules petites entreprises. Le groupe Renew a voulu étendre l’idée à une exemption pour les plateformes à but non lucratif. Ce dernier projet a suscité l’ire de Paris, qui estime que les plateformes n’auront pas de problème à se conformer à leurs obligations si elles sont déjà vertueuses.

L’accord politique : La solution de la commission Industrie du Parlement est retenue, assortie de deux ajouts. Les micro et petites entreprises sont donc exemptées d’obligations propres aux plateformes, même si elles peuvent être désignées comme de très grandes. Elles gardent cette exemption un an après leur passage en entreprise de taille moyenne. En outre, la Commission s’engage à fournir un soutien financier aux PME pour qu’elles se conforment au DSA, « en mobilisant les programmes pertinents ». La Commission doit examiner sous trois ans l’effet du règlement sur les PME.

Ce point mineur a mené au blocage du trilogue pendant quelques heures, et a contribué à la menace de départ des négociations par l’équipe du Parlement tard le 22 avril au soir. C’était la ligne rouge du PPE, représenté par sa rapporteure fictive Arba Kokalari.

7. Indemnisation en cas de dommage

Pour rendre les obligations des intermédiaires dans le cadre du DSA opposables en justice, le Parlement a proposé que les internautes puissent réclamer une indemnisation pour un dommage causé par une infraction au règlement. La rapporteure Christel Schaldemose s’est beaucoup inquiétée des effets des algorithmes des réseaux sociaux sur la santé des enfants et des adolescents. Des mesures insuffisantes pour lutter contre ces risques seraient donc attaquables en justice.

L’accord politique : L’indemnisation en justice sera bien possible pour tout dommage causé par un intermédiaire qui a enfreint les obligations du DSA.

8. Des obligations de dernière minute fortes pour les très grandes plateformes

Les très grandes plateformes sont l’une des clés de la proposition de la Commission. Cette nouvelle catégorie de plateformes, qui comptent plus de 45 millions d’utilisateurs dans l’Union, représente des risques systémiques pour la société, à savoir la diffusion de contenus illicites, les effets sur l’exercice des droits fondamentaux, ainsi que les effets sur l’espace public, en particulier sur les élections, l’ordre public ou la protection des mineurs. Ces plateformes doivent se soumettre à des audits annuels et réduire ces risques, sous peine de sanctions de la Commission.

Deux ajouts de dernière minute renforçant les obligations de contrôle des contenus alourdissent leur barque :

L’infraction à ces obligations peut mener à une amende allant jusqu’à 6 % du chiffre d’affaires mondial.

  • Un 4ᵉ risque systémique demandé par le Conseil, concernant les effets sur la santé publique et « les conséquences négatives sérieuses sur le bien-être ou sur les violences sexistes », une manière d’englober les contenus haineux et la désinformation.
  • Un mécanisme de réponse aux crises, qui permet à la Commission de réclamer aux très grandes plateformes des mesures d’urgence, dans une limite de trois mois, lorsqu’une crise comme la guerre en Ukraine émerge. Ce système doit, entre autres, cadrer des mesures comme le blocage de RT et de Sputnik.

L’accord politique : En cas de crise, la Commission pourra bien obliger les très grandes plateformes à mener une analyse des risques qu’elles posent dans cette situation particulière, et à prendre les mesures nécessaires pour y répondre, durant jusqu’à trois mois. L’exécutif ne pourra pas le faire de sa propre initiative, mais « sur recommandation du Comité des coordinateurs nationaux des services numériques », l’organisme consultatif où siégeront les autorités nationales, selon la version de l’accord consultée par Contexte. Les mesures peuvent être amendées sur recommandation du comité, voire étendue pour trois autres mois.

9. Supervision des très grandes plateformes

L’autre grand changement concernant les très grandes plateformes porte sur leur supervision. Exit le « coordinateur » des autorités nationales compétentes du pays d’établissement, c’est la Commission européenne qui est chargée de se doter des moyens nécessaires pour contrôler que ces acteurs limitent bien les risques qu’ils posent pour la société.

Pour garantir ces moyens, l’exécutif envisage de lever 20 à 30 millions d’euros chaque année en « frais de supervision » auprès des très grandes plateformes. Il propose de limiter cette redevance pour service rendu, même si ces frais ne seront pas en eux-mêmes un pourcentage de ce chiffre d’affaires. Le système est inspiré, entre autres, de celui envisagé par l’Ofcom au Royaume-Uni.

La Commission prépare donc sa réorganisation pour superviser ces acteurs, en parallèle des « contrôleurs d’accès » du Digital Markets Act. L’exécutif espère embaucher 150 ou 160 experts des algorithmes, des réseaux et du numérique pour réguler le DMA. Une partie de ces ressources devrait être mutualisée avec le DSA au sein d’un pôle d’excellence de la Commission, chargé d’épauler les équipes chargées de superviser chacun des deux règlements.

L’accord en trilogue : Les très grandes plateformes devront financer leur supervision par la Commission, à un niveau n’excédant pas 0,05 % de leur chiffre d’affaires annuel dans le monde, contre 0,1 % attendu avant le trilogue.

10. Entrée en application en deux temps

L’accord politique : Le règlement entrera en application en deux temps. D’abord, il entrera en application sept mois après son entrée en vigueur pour les très grandes plateformes. Ce délai inclut les trois mois de désignation de chaque très grande plateforme par la Commission, puis les quatre mois d’entrée en application inscrits dans l’article 74 du règlement, selon l’équipe de Christel Schaldemose. Le DSA entrera en application après 15 mois pour le reste des intermédiaires du Net. Elle est espérée pour janvier 2024.

Quelques semaines de travaux techniques encore attendues

Cet accord politique difficile n’est pas la fin du chemin. « Je pronostique qu’au moins deux ou trois gros compromis importants resteront à affiner après le trilogue », lançait une source proche des négociations il y a quelques jours. « On aura un accord politique, puis un ou deux mois de trilogues techniques à se demander ce que voulait dire l’accord politique », estimait une source parlementaire peu avant le trilogue. Le texte final pourrait donc n’arriver qu’à la fin de la présidence française. Son adoption est espérée en même temps que celle du Digital Markets Act, possiblement en juillet.

En entrée du trilogue, la division au sein de l’équipe de négociation au Parlement, vive sur les points qui touchent aux droits fondamentaux, a laissé craindre un trilogue difficile à la majorité des sources que nous avons contactées, au sein et à l’extérieur du Parlement. La discussion a effectivement été compliquée entre Parlement et Conseil sur ces questions, même si l’exemption d’obligations pour les PME a été le point de blocage majeur du Parlement. L’accord politique du 23 avril est le fruit d’intenses négociations au niveau technique de ces dernières semaines. Une avalanche de documents qu’il fallait parfois commenter en une journée. « On se concentre sur les points essentiels pour nous et on laisse passer le reste, c’est impossible à suivre sinon », se lamentait une source parlementaire quelques jours avant la réunion.

À lire également

Plateformes : le Mastodon dans la pièce Plateformes : le Mastodon dans la pièce
Sasin Tipchai (Pixabay)

Plateformes : le Mastodon dans la pièce

Le réseau Mastodon doit-il être considéré comme une plateforme, au sens du Digital Services Act, et donc être soumis à de nombreuses obligations sur le traitement des utilisateurs et des contenus ? Ce réseau teste la flexibilité du nouveau règlement, à peine entré en vigueur.
Régulation des contenus sur Internet
·
Le règlement sur les services numériques (DSA)
DSA : attention, une législation peut en cacher d’autres DSA : attention, une législation peut en cacher d’autres
Flickr CC by Rob Dammers

DSA : attention, une législation peut en cacher d’autres

Le Digital Services Act a été publié le jeudi 27 octobre au Journal officiel de l’UE. Le règlement doit poser les fondations de la régulation des contenus pour les vingt prochaines années. Malgré la promesse initiale de freiner l’inflation législative dans le domaine, le DSA est pourtant en voie de devenir son meilleur outil.
Régulation des contenus sur Internet
·
Publicité en ligne
·
Lutte contre le terrorisme
·
Règlement sur le retrait de contenus terroristes
·
Lutte contre le piratage
·
Protection des consommateurs
·
Le règlement sur les services numériques (DSA)
Les doléances oubliées du DSA (3/3) : passe ton code de conduite d’abord Les doléances oubliées du DSA (3/3) : passe ton code de conduite d’abord
svklimkin (Pixabay)

Les doléances oubliées du DSA (3/3) : passe ton code de conduite d’abord

Le Digital Services Act, en passe d’être formellement adopté, ouvre la voie à un train de codes de conduite contraignants pour les très grandes plateformes. Protection de l’enfance, haine en ligne, désinformation… La « soft law » promet de se densifier, alors que d’autres idées reviennent par la grande porte, dont l’interdiction pour les plateformes d’interférer avec les contenus de médias. Troisième et dernier volet de notre série.
Données personnelles
·
Régulation des contenus sur Internet
·
Le règlement sur les services numériques (DSA)
Les doléances oubliées du DSA (2/3) : le e-commerce et la publicité toujours dans le viseur Les doléances oubliées du DSA (2/3) : le e-commerce et la publicité toujours dans le viseur
Gabe Raggio (Pixabay)

Les doléances oubliées du DSA (2/3) : le e-commerce et la publicité toujours dans le viseur

Les négociations sur le Digital Services Act ont vu venir, puis repartir, de nombreuses propositions. Contrôles renforcés sur les produits pour les places de marché en ligne, interdiction du ciblage publicitaire… Les prochains mois promettent d’être agités pour le e-commerce et la publicité en ligne. Deuxième volet de notre série sur ces doléances.
E-commerce
·
Publicité en ligne
·
Le règlement sur les marchés numériques (DMA)
·
Le règlement sur les services numériques (DSA)
Les doléances oubliées du DSA (1/3) : câlinothérapie pour ayants droit Les doléances oubliées du DSA (1/3) : câlinothérapie pour ayants droit
Westfale (Pixabay)

Les doléances oubliées du DSA (1/3) : câlinothérapie pour ayants droit

Alors que le Digital Services Act est en passe de recevoir ses derniers coups de tampon, de nombreuses demandes de lobbys abandonnées durant les négociations refont déjà surface. Premier volet : les demandes des ayants droit, du piratage aux places de marché, que la Commission a dans son radar.
Droit d'auteur
·
Audiovisuel
·
Lutte contre le piratage
·
Le règlement sur les services numériques (DSA)
Documents - Les positions convergent de plus en plus entre Parlement et Conseil sur le DSA Documents - Les positions convergent de plus en plus entre Parlement et Conseil sur le DSA
Flickr CC by sa Yijun Chen

Documents - Les positions convergent de plus en plus entre Parlement et Conseil sur le DSA

Contexte publie les compromis partagés ces derniers jours entre eurodéputés et États européens. Si les accords pointent sur le signalement de contenus ou les très grandes plateformes, le débat bat son plein sur la publicité. Le Parlement est, lui, divisé sur les derniers amendements envoyés par la rapporteure, alors que la fin des négociations approche.
Régulation des contenus sur Internet
·
Publicité en ligne
·
Le règlement sur les marchés numériques (DMA)
·
Le règlement sur les services numériques (DSA)
Digital Markets Act : à quoi ressemble la nouvelle régulation de la concurrence dans le numérique Digital Markets Act : à quoi ressemble la nouvelle régulation de la concurrence dans le numérique
Infographie

Digital Markets Act : à quoi ressemble la nouvelle régulation de la concurrence dans le numérique

Désignation des géants du Net, obligations et contraintes, rôle des autorités et montant des amendes… Contexte décortique la version finalisée du règlement, à partir de la version consolidée diffusée à la mi-avril. Les obligations des contrôleurs d’accès sont renforcées, tout comme les outils de la Commission pour sévir en cas d’infraction, et le soutien que lui fournissent les autorités nationales. L'entrée en application est espérée pour 2023.
Le règlement sur les marchés numériques (DMA)