Le Digital Services Act (DSA), nouveau règlement de l’Union Européenne, est entré en vigueur le 25 août 2023 pour les plus grandes plateformes. Fruit d’une longue négociation entre les pays européens, le DSA s’inscrit dans la lignée des réglementations du secteur numérique lancé par les 27 Etats membres, notamment le RGPD.
Digital Services Act (DSA) : comment s’y conformer ?
Le DSA vient renforcer l’arsenal juridique de l’UE en matière de services numériques, avec la volonté de sécuriser davantage ces espaces. Mais toute réglementation s’accompagne de son lot de problématiques nouvelles pour les opérationnels qui doivent mettre en œuvre ces mesures. Après les questionnements des entreprises relatives au RGPD et la protection des données, comment assurer la conformité des services au nouveau DSA ?
Se familiariser avec le DSA : quelles obligations ?
L’un des points les plus importants - et intéressants - du DSA, réside dans le fait que le règlement prévoit une gradation des obligations, selon la taille des plateformes numériques concernées. Il est cependant clair que les principales cibles sont les GAFAM, dont les plateformes recensent plus de 45 millions d’utilisateurs européens par mois (incluant Facebook, Instagram, Google, Amazon, etc.). Le 25 avril 2023, une première liste des 17 grandes plateformes a ainsi été publiée sur le site de la Commission, dont les GAFAM, AliExpress, Instagram ou encore Zalando font partie.
Le principe du DSA demeure assez simple en apparence ; ce qui est illégal hors ligne l’est aussi en ligne. Partant de ce constat, l’objectif du règlement est de lutter contre la présence de contenus illicites sur le numérique, de promouvoir une meilleure transparence des plateformes envers les internautes, d’atténuer les risques et d’améliorer la réponse à incidents. Le DSA érige ainsi un ensemble de règles, afin de responsabiliser les plateformes numériques, mais également de protéger les internautes et les entreprises européennes.
Si nous avons déjà cité les GAFAM, comme premières cibles du DSA, ce ne sont pas les seules à devoir s’y conformer. En effet, les fournisseurs d’accès Internet, les services Cloud, les moteurs de recherche et les plateformes en ligne (au sens large comme défini par le règlement, que ce soit un réseau social ou bien un site de vente en ligne) devront s’y conformer. Cela représente la majorité des acteurs proposant des services numériques, alors comment assurer sa conformité au DSA ?
L’importance d’évaluer sa conformité actuelle
Vous êtes concerné par les obligations issues du DSA ? Il est donc primordial de faire un état des lieux de votre niveau de conformité actuel. Les audits DSA/DMA viennent compléter les audits RGPD. Il convient d’identifier les domaines qui nécessitent des ajustements. À ce titre, plusieurs nouvelles obligations ont vu le jour, mais la plupart ne sont que des modifications ou des reprises de normes antérieures (RGPD et droit du numérique national Français notamment). Le DSA implique d’ailleurs la réalisation d’audits indépendants annuels, sous le contrôle de la Commission européenne.
Mettre en place des mécanismes de signalement et de modération efficaces
Pour poursuivre sur la lancée des initiatives engagées par le RGPD, les mécanismes de signalements relatifs à la sécurité, et à la santé publique, sont renforcés. Les plateformes doivent ainsi proposer aux internautes un outil leur permettant de signaler facilement les contenus illicites. Au vu des récentes crises géopolitiques, l’UE demande la réalisation d’analyses de risques sur les interfaces concernées, les réseaux sociaux par exemple, qui ont besoin de modération sur ces plateformes. L’analyse de risques peut conduire la Commission à imposer des mesures d’urgence pour les limiter. Il importe donc pour les plateformes de se mettre (ou remettre) à niveau vis-à-vis des processus de modération. Le règlement du DSA met en effet l’accent sur les contenus illicites en ligne (racisme, sexisme, apologie de crimes de guerre,ciblé etc.). Les plateformes doivent ainsi assurer une modération rapide, efficace et transparente de leur contenu.
La transparence en ligne : mot d’ordre du DSA
Pour obliger la modération des plateformes, le principe de transparence s’invite dans les décisions. Ce principe est multi-aspect, et vient à s’appliquer de différentes manières selon les besoins et attentes des plateformes.
Tout d’abord, la modération de contenu implique de fournir des explications détaillées et argumentées quant à la suppression de contenus en ligne - une photo postée sur Instagram ou un post sur X par exemple. Le système de contestation de ces décisions est également étoffé, puisque des organismes indépendants pourront statuer sur les litiges (à condition d’avoir le statut attribué par la Commission). Les plateformes doivent donc intégrer ces nouveaux mécanismes de décisions dans leurs processus de modération.
Une autre application du principe de transparence se trouve dans l’obligation de divulguer, et d’expliquer, le fonctionnement des algorithmes auxquels ont recours les plateformes. Le scandale Meta, à la suite de l’affaire Cambridge Analytica en 2016 lors de la campagne présidentielle américaine, en est le parfait exemple. L’UE impose donc désormais aux plateformes d’expliquer le contenu et le but de leurs algorithmes. L’objectif final de cette application est d’atteindre un registre de publicité non ciblée, qui signifie la fin du profilage sur les moteurs de recherche et sur les plateformes numériques en général. Par ailleurs, le DSA a renforcé ses règles concernant la publicité ciblée sur les mineurs, par rapport au RGPD. Elle est désormais interdite auprès des mineurs présents sur les plateformes. Les plateformes doivent donc procéder à un tri et à un filtrage, pour respecter les obligations qui s’imposent face à un internaute mineur.
Enfin, le principe de transparence peut être résumé comme le fait d’informer clairement et de manière non équivoque, les utilisateurs sur la manière dont leurs données seront traitées, et sur les règles de la plateforme en question. La continuité avec les normes issues du RGPD est claire.
Des mesures contraignantes : quelles sanctions ?
Ces obligations vont sans nul doute apporter leur lot de problèmes, pour se mettre en conformité, mais par la nature obligatoire du règlement, on ne peut déroger à celles-ci. La Commission a d’ailleurs anticipé les risques de transgressions, et impose des sanctions dissuasives à l’égard des plateformes réfractaires. Des mécanismes de surveillance au niveau européen sont désormais mis en place de façon coordonnée, entre les 27 Etats membres, avec des amendes pouvant aller jusqu’à 6 % du chiffre d’affaires mondial de l’entreprise.
Le DSA est une étape majeure dans l’évolution de la réglementation numérique européenne, et s’inscrit dans la continuité du RGPD. Il impose de nouvelles responsabilités de transparence et de modération de contenu aux plateformes numériques. La mise en conformité pose des défis aux opérateurs, mais est essentielle pour la création d’un espace numérique européen plus sûr. Reste désormais à voir si ces actions seront efficaces face à des acteurs de plus en plus puissants, et incontournables sur Internet.