La responsabilité des intermédiaires techniques de l’internet a récemment été réformée. Ainsi, les articles 12 à 15 de la directive 2000/31/CE, dite « e-commerce », ont été abrogés. Le sujet est désormais traité par les articles 4, 5, 6 et 8 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques, dit « règlement sur les services numériques » ou « Digital Services Act » (« DSA »).
Les ambitions de ce texte, long de plus de 90 articles, dépassent largement le champ de la responsabilité. L’objectif affirmé est de « contribuer au bon fonctionnement du marché intérieur des services intermédiaires en établissant des règles harmonisées pour un environnement en ligne sûr, prévisible et fiable qui facilite l’innovation et dans lequel les droits fondamentaux consacrés par la Charte, y compris le principe de protection des consommateurs, sont efficacement protégés » (DSA, art. 1, §1). Il s’agit, plus précisément, de mettre en place un cadre européen harmonisé pour les services en ligne, principalement en matière de modération des contenus illicites et de transparence du service.
La multiplication des acteurs rendait en effet l’encadrement offert par la directive insuffisant, voire insécure tant le statut d’hébergeur paraissait étriqué pour un certain nombre de nouveaux intermédiaires. Le DSA choisit d’embrasser largement la catégorie, comme visant les fournisseurs de services intermédiaires (FSI), qui incluent les catégories précédemment établies par la directive e-commerce, à savoir le « simple transport », la « mise en cache » et l’« hébergement » (DSA, art. 3, g)).
S’agissant de la responsabilité des FSI, le DSA s’inscrit nettement dans le prolongement de la directive e-commerce, consacrant le régime de responsabilité conditionnée (1). Au-delà, le législateur confirme sa méthode normative de responsabilisation en amont des acteurs, comme on le connaît dans le RGPD et comme l’AI Act l’envisage (2), imposant des obligations de diligence graduées.
- La responsabilité
Le principe d’absence d’obligation générale de surveillance est repris par le DSA (art. 8). En conséquence, le FSI ne peut a priori engager sa responsabilité pour les contenus dont il permet la communication. Sa neutralité le met ainsi à l’abri de l’illicéité.
En ce sens, les fournisseurs d’accès à internet (« simple transport ») comme les serveurs proxy (« mise en cache ») sont confirmés dans leur quasi-irresponsabilité (DSA, art. 4 et 5). S’agissant de l’hébergeur, le fameux triptyque – savoir, pouvoir, inertie – est repris : ainsi, sa responsabilité ne peut être engagée à raison des informations stockées que s’il a connaissance de l’activité illégale ou du contenu illicite, le mettant donc en position d’agir, mais qu’il ne retire pas le contenu ou n’en rend pas l’accès impossible (art. 6, §1).
Des mécanismes d’injonctions, prononcées par l’autorité judiciaire ou administrative, complètent le dispositif, soit en vue de la cessation du trouble (art. 9), soit dans le but d’obtenir des informations (art. 10).
- La responsabilisation
L’UE s’est engagée depuis quelque temps dans une vision normative régulatoire, impliquant les acteurs en amont de la réalisation du dommage, en vue d’en prévenir la survenance. Cette implication forcée se traduit par des obligations de diligence visant à responsabiliser les FSI. Pragmatique, le DSA livre une approche graduée, en faisant varier l’intensité des obligations en fonction de la taille des fournisseurs et de la nature des services offerts.
D’abord, de manière transversale (comme visant le socle minimal d’obligations), des dispositions s’imposent à tous les FSI. Il s’agit de désigner un point de contact unique, pour faciliter la communication (électronique) avec les différentes autorités et avec les destinataires des services (DSA, art. 11 et 12). Il s’agit encore, pour les FSI ne disposant pas d’établissement au sein de l’Union, de désigner une personne (physique ou morale) représentante dans l’UE et qui sera l’interlocuteur éventuel des autorités (les FSI établis dans l’UE ont déjà ce représentant). Les FSI sont aussi tenus d’établir des conditions générales décrivant leurs services, le fonctionnement de ceux-ci et les éventuels restrictions apportées, ainsi que les procédures liées. Ils doivent également réaliser et communiquer un rapport annuel sur les activités de modération mises en œuvre.
Ensuite, certaines obligations s’appliquent à la catégorie des hébergeurs. Ceux-ci doivent simplifier la procédure de notification permettant la connaissance de l’illicéité et adopter la réaction idoine à réception (art. 16), celle-ci pouvant aller du retrait du contenu ou son impossibilité d’accès à la suspension voire la suppression du compte du destinataire du service. La décision prise doit faire l’objet d’un « exposé des motifs » (art. 17) fourni au destinataire, y compris sur les voies de recours ouvertes. Les hébergeurs ont par ailleurs l’obligation de déclarer promptement aux autorités répressives ou judiciaires de l’Etat membre toute information les conduisant à soupçonner qu’une infraction pénale présentant une menace pour la vie ou la sécurité d’une ou de plusieurs personnes a été commise, est en train d’être commise ou est susceptible d’être commise (art. 18).
Un cran au-dessus, certains hébergeurs, nommés plateformes en ligne (lesquelles, en plus de stocker l’information, la diffuse au public), subissent des obligations plus accentuées. La catégorie, large, vise les réseaux sociaux, les places de marché, les sites de partage de contenus, etc. Ces acteurs ont l’obligation de mettre en place un système de traitement interne des réclamations (art. 20) et ils prennent en charge les frais liés à la mise en place d’une procédure de règlement extrajudiciaire des litiges (art. 21). Ils sont aussi soumis à des obligations de transparence plus grandes, notamment concernant le rapport annuel (art. 24), l’usage de la publicité (art. 26) ou le fonctionnement des outils de recommandation éventuels (art. 27).
En plus de ces obligations, les plateformes en ligne qui permettent aux consommateurs la conclusion de contrats à distance avec des professionnels doivent mettre à disposition de ces derniers un cadre (interface en ligne) propice au respect de leurs obligations, impliquant une « conformité dès la conception » (art. 31), by design donc. Un droit à l’information est également reconnu aux consommateurs en cas de détection par la plateforme d’une illégalité touchant le produit ou le service.
Enfin, un sort particulier est réservé aux « très grands » – très grandes plateformes auxquelles sont parfois assimilés les très grands moteurs de recherche. La qualification dépend d’un double critère : un critère de fond (une audience mensuelle supérieure ou égale à 45 millions au sein de l’UE) et un critère de forme (la désignation par la Commission européenne). De par leur capacité d’action et d’influence, les « très grands » sont tenus de recenser, analyser et évaluer « de manière diligente tout risque systémique au sein de l’Union découlant de la conception ou du fonctionnement de leurs services et de leurs systèmes connexes, y compris des systèmes algorithmiques, ou de l’utilisation faite de leurs services » (art. 34, §1). Sont précisément cités comme risques systémiques (art. 34, §2) : « a) la diffusion de contenus illicites par l’intermédiaire de leurs services ; b) tout effet négatif réel ou prévisible pour l’exercice des droits fondamentaux […] ; c) tout effet négatif réel ou prévisible sur le discours civique, les processus électoraux et la sécurité publique ; d) tout effet négatif réel ou prévisible lié aux violences sexistes et à la protection de la santé publique et des mineurs et les conséquences négatives graves sur le bien-être physique et mental des personnes ». Une fois la vérification faite, les « très grands » doivent encore prendre des mesures d’atténuation raisonnables, proportionnées et efficaces (art. 35), ce qui peut conduire à l’adaptation de leurs services ou systèmes (modération, recommandation, publicité…). Le respect de ces obligations fait l’objet d’un audit indépendant annuel, aux frais des « très grands » (art. 37), et peut donner lieu à un contrôle a posteriori du coordinateur pour les services numériques de l’Etat membre d’établissement (organe de contrôle national) ou de la Commission européenne (art. 40).
L’exigence de mise en conformité participe d’un changement de paradigme sur la manière d’encadrer les activités au niveau européen. Comme pour le RGPD, l’aspect régulatoire, imposant des obligations en amont, prend une place importante dans la réglementation. De la même manière également, les contrôles a posteriori peuvent donner lieu à des sanctions, notamment des amendes dont le montant potentiel laisse songeur – jusqu’à 5% du chiffre d’affaires annuel mondial du FSI sur l’exercice précédent…