Le « Digital Services Act » : une nouvelle régulation des contenus sur Internet

« Tout ce qui est interdit dans l'espace physique sera aussi interdit dans l'espace online » (Thierry Breton, Commissaire européen, 2020).

Tel est, en 2022, le principe juridique que la Commission européenne souhaite faire respecter aux termes de deux nouveaux règlements fondamentaux dédiés à l'encadrement des espaces digitaux.

Toutefois, la régulation de l'Internet, espace d'échanges planétaire, doit-elle réellement reproduire le cadre juridique du monde réel ? Et de quels pays, de quelle culture juridique ? Les tensions régulières entre Union européenne et Etats-Unis, tels les débats autour du rôle de la modération à l'occasion du récent projet de rachat de Twitter par Elon Musk, montrent les divergences culturelles dans l'encadrement juridique des libertés et des obligations sur le Net.

Moteurs de recherche, fournisseurs d'accès ou hébergeurs de contenus, places de marché, intermédiaires de services, sites de petites annonces, réseaux sociaux… : Quel que soit le type de plateforme, les contenus illicites de toute nature pullulent sur un Internet anonyme et sans frontières, plus dynamique et innovant que le droit applicable.

En particulier, l'atteinte aux droits de propriété intellectuelle prend des formes multiples, en ligne : commerce de produits contrefaisants, atteinte aux marques, faux sites Internet, publication de textes, photos ou vidéos protégés par le droit d'auteur, cybersquatting de noms de domaine, scam, détournement de bases de données protégées, etc.

Ces contenus et pratiques illicites posent également problème sur le plan des données personnelles que communiquent les internautes dès qu'ils accèdent à un site ou une application, notamment via les cookies. Ces pratiques faussent également la concurrence et fragilisent les entreprises présentes sur le Net. Plus généralement, ces contenus cachent toutes sortes d'escroqueries.

Ainsi, les dérives se multiplient avec l'essor de modèles économiques de services dématérialisés, au détriment de la protection de la vie privée, des libertés fondamentales, de la concurrence loyale et des droits de propriété intellectuelle, donc au détriment de chacun de nous.

La responsabilité des plateformes dans la prévention et le traitement de ces dérives est pourtant déjà bien réglementée et fait régulièrement l'objet de décision judiciaires éclairantes.

Ainsi, la modération préventive ou corrective des contenus diffusés sur certaines plateformes fait l'objet, depuis longtemps, de règles établies plus ou moins contraignantes selon que le site sera considéré comme éditeur ou hébergeur de contenus. Des procédures extrajudiciaires de règlement de litiges existent au niveau international, mais avec un périmètre très limité. Or, les opérateurs concernés appliquent ces règles avec plus ou moins de bonne volonté, et mettent souvent en exergue la protection des libertés d'expression ou de concurrence, ou les limites de leur rôle d'hébergeur privé, pour refuser de sanctionner systématiquement les cas de contrefaçon ou d'actes illicites qui leur sont signalés. Ils préfèrent généralement laisser à la Justice la responsabilité de trancher ce qui relève pourtant souvent de l'évidence et de leur marge de décision.

Autre cadre légal sur Internet, la question du traitement des données personnelles est également bien connue, désormais, encadrée aujourd'hui par le RGPD et la réglementation plus spécifique applicable aux cookies et autres traceurs.

Bien que ces réglementations progressent, elles restent plus quantitatives que qualitatives, en raison de la nature même de l'Internet. Faute de contrôle efficace possible, les lois nationales n'ont que peu d'emprise sur l'anonymat d'un monde virtuel sans frontières, en permanente innovation.

Légiférer localement, pays par pays, est donc relativement illusoire, les cultures juridiques étant souvent trop éloignées pour s'accorder sur une délimitation claire entre libertés et interdits, et trop dénuées de moyens pour faire appliquer efficacement leurs lois territoriales à un outil planétaire. La question de la régulation de l'Internet se pose donc un peu plus efficacement au niveau régional (européen), et plus rarement au niveau international. En Europe, elle devient un véritable sujet de « compliance », applicable à tous les acteurs du réseau, à l'instar de ce que nous connaissons déjà en matière de données personnelles (RGPD) ou de lanceurs d'alertes (Sapin II et Directive européenne).

En 2019, une Directive européenne, aujourd'hui transposée en France, renforçait déjà très largement la protection du droit d'auteur dans le marché numérique, notamment en accroissant encore les obligations techniques, financières et juridiques des plateformes en matière de prévention et de traitement de la contrefaçon en ligne. Ces dernières ont réagi soit constructivement en développant des moyens dédiés à cette lutte (beaucoup d'entre nous ont déjà vécu un refus de publication de leur post ou de leur petite annonce par un algorithme modérateur ayant détecté un contenu protégé et non autorisé), soit en tentant de contourner ces règles, à l'exemple du rapport de force, en 2021, entre Google et les éditeurs de presse français pour le référencement des articles de presse.

Depuis 20 ans, les législations européennes et nationales relatives au monde digital se multiplient mais se retrouvent rapidement caduques au vu de l'évolution trop rapide des modèles économiques innovants des plateformes comme des capacités techniques des contrefacteurs et pirates du Net.

Plus qu'une loi, la nécessité d'une véritable « norme » européenne actualisée et exigeante se faisait sentir avec urgence, afin de faire peser une obligation forte de « conformité » (ou « compliance ») sur les acteurs de l'Internet et d'offrir un cadre de confiance à ses utilisateurs, individus comme entreprises.

A cette fin, en décembre 2020, au terme d'un travail éléphantesque, la Commission européenne publiait une proposition de Règlement européen fondamental sur la régulation des Services Numériques, dit « DSA » (Digital Services Act). Ce texte va réformer notamment la Directive 2000/31/CE dite « e-commerce », qui réglementait le rôle des opérateurs du Net, à une époque où les réseaux sociaux, les intermédiaires de services et les places de marché n'existaient pas. En complément, s'agissant d'un « paquet législatif », la Commission publiait un second projet sur la régulation du Marché Numérique (Digital Market Act), tout aussi essentiel, mais que nous n'aborderons pas dans le cadre de cet article centré sur la propriété intellectuelle et les contenus.

L'objectif de ce premier texte est notamment d'apporter aux citoyens et entreprises européens le niveau nécessaire de sécurité et de confiance dans l'utilisation du marché de l'Internet. Il oblige les principaux acteurs de ce réseau mondial à assumer des obligations plus fortes de transparence, d'éthique et de lutte effective contre les contenus illicites, obligations qu'ils assumeraient déjà très naturellement s'ils œuvraient dans le monde physique.

Ces acteurs sont essentiellement les fournisseurs de services dits « intermédiaires », qui mettent en relation consommateurs et fournisseurs de biens, de services ou de contenus : fournisseurs d'accès, bureaux d'enregistrement de noms de domaine, places de marché en ligne, réseaux sociaux, sites de partages de contenus, plateformes de partage ou d'hébergement en ligne (cloud…), etc.

Ce texte pose notamment des obligations et sanctions qui varieront en intensité selon le rôle, la taille et le poids de ces acteurs sur Internet.

On peut notamment mentionner :

• des règles pour la prévention et la suppression plus efficientes des contenus illicites, en réaction aux signalements tant par les internautes « signaleurs de confiance » que par les autorités judiciaires ou administratives (CNIL, ARCOM, AFNIC…) ;
• des règles de traçabilité renforcée des utilisateurs professionnels sur les places de marché en ligne, afin d'identifier plus facilement les fournisseurs de produits ou services illicites et de fournir une information claire aux internautes ;
• des règles de transparence renforcées sur les algorithmes analysant les profils d'utilisateurs aux fins d'émettre des recommandations personnalisées (notamment transparence accrue sur les cookies et données personnelles), et notamment l'obligation de proposer des contenus ne résultant pas d'un profilage ;
• des règles plus strictes sur la publicité ciblée en ligne, notamment les abus dans l'utilisation des données personnelles très sensibles (santé, sexualité, opinions politiques…) ou encore l'interdiction des pop-ups publicitaires trompeurs dits « pièges à utilisateurs »;
• des règles de recours plus accessibles aux utilisateurs, pour contester les décisions de modération des plateformes, via des recours extra-judiciaires ou judiciaires améliorés ;
• l'instauration d'une coopération accrue entre les pouvoirs publics, afin de mieux contrôler le respect et l'application active de ces nouvelles normes par les intéressés ;
• De nouvelles garanties pour l'identification sécurisée des personnes en ligne, utilisateurs ou commerçants, notamment pour la protection des mineurs ou des utilisateurs profanes.

Pour les très grands acteurs de l'Internet, dits « systémiques » (plateformes ayant une audience de plus de 10% des 450 millions de consommateurs de l'UE), tels les grands moteurs de recherche ou les principaux réseaux sociaux, des obligations supplémentaires sont prévues :

• Obligation de conformité et d'autocontrôle annuel de leurs procédures et de leur gestion des risques liés à la lutte contre les contenus illicites ;
• Obligation de publication de rapports réguliers sur le bilan de leurs actions en matière de modération ;
• Mise en place d'une nouvelle structure de surveillance, de contrôle et de sanction, sous l'autorité de la Commission, avec l'aide de nouvelles autorités nationales indépendantes.