B. LE RÈGLEMENT SUR LES SERVICES NUMÉRIQUES (RSN)
Le règlement relatif à un marché unique des services numériques (RSN), définitivement adopté le 4 octobre 2022, doit entrer en vigueur le 25 août 2023 s'agissant des très grandes plateformes et le 17 février 2024 pour le reste des dispositions. Il établit un cadre juridique européen sur la fourniture de services d'intermédiation en ligne dans le marché intérieur pour responsabiliser les grandes plateformes numériques, mieux définir les contenus pouvant être disponibles en ligne et, simultanément, lutter contre les contenus illicites (contenus terroristes ou pédopornographiques, vente de stupéfiants, de produits contrefaits, etc.).
1. Une régulation des fournisseurs de services d'intermédiation en ligne
Le RSN vise :
Ø les fournisseurs d'accès à Internet (FAI) ;
Ø les services d'informatique en nuage (cloud) ;
Ø les plateformes en ligne (boutiques d'application, réseaux sociaux, plateformes de partage de contenus...) ;
Ø les très grandes plateformes et les très grands moteurs de recherche (définis avec le critère du RMN de 45 millions d'utilisateurs mensuels dans l'Union européenne).
Chaque État membre doit nommer un « coordinateur des services numériques », autorité indépendante chargée de faire appliquer le cadre juridique européen et la Commission européenne va mettre en place une supervision sur les très grandes plateformes, au sein d'un réseau de contrôle européen (« Comité européen des services numériques ») qui réunit les autorités de régulation nationales.
Le règlement prévoit des mesures pour lutter contre les contenus illicites (injonctions des autorités compétentes, rapports de transparence sur les actions de modération des contenus, mécanismes de signalement de ces contenus par les utilisateurs, transmission des informations conduisant à soupçonner une infraction pénale aux autorités compétentes).
Ces mesures sont renforcées pour les plateformes en ligne (« signaleurs de confiance » et traitement de leurs demandes dans les meilleurs délais ; possibilité, pour ces fournisseurs, de suspendre, après un avertissement préalable, la fourniture de leurs services à ceux qui fournissent fréquemment des contenus manifestement illicites ; rapports de transparence renforcés ; information des consommateurs ayant acheté un produit ou un service en ligne illégal sur l'illégalité de ce produit ou service, l'identité du professionnel concerné et les voies de recours ; protection des mineurs en ligne par des « mesures appropriées et proportionnées »).
En outre, les places de marché (market places) devront mieux identifier les vendeurs de produits ou de services sur leurs plateformes et mieux en informer les consommateurs.
Une transparence accrue du fonctionnement des plateformes est également prévue (mise en place de systèmes internes de traitement des réclamations, mise à disposition d'informations sur les algorithmes choisis pour recommander des contenus publicitaires, obligation de proposer un système de recommandation de contenus transparent et non fondé sur le profilage).
Les très grandes plateformes et les très grands moteurs de recherche sont en outre soumis à des obligations renforcées (évaluation de tout risque systémique issu de la conception ou du fonctionnement de leurs services, atténuation de ces risques s'ils sont avérés, audits indépendants, accès à leurs données et contrôle de ces dernières par les coordinateurs des services numériques des États membres et la Commission européenne, mécanisme de réaction aux crises) à compter du 25 août 2023. La Commission européenne a ainsi récemment désigné les dix-sept grandes plateformes (AliExpress, Amazon Store, App Store, Booking, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipédia, YouTube, Zalando) et les deux très grands moteurs de recherche en ligne concernés (Bing et Google Search).
Certains types de publicités ciblées sont interdits lorsqu'elles visent les mineurs ou utilisent certaines données à caractère personnel telles que les opinions politiques.
En cas de non-respect du RSN par des entreprises, les coordinateurs nationaux et la Commission européenne pourront prononcer des astreintes ou infliger des sanctions (jusqu'à 6 % du chiffre d'affaires mondial). En cas de violations graves et répétées au règlement, les plateformes pourront se voir interdire d'activités sur le marché européen.
2. Le Sénat entendu sur le RSN, en dépit de quelques regrets
Sur proposition des rapporteures Florence Blatrix Contat et Catherine Morin-Desailly, et à la suite de leur rapport25(*), la commission des affaires européennes a adopté une proposition de résolution européenne devenue résolution européenne du Sénat le 14 janvier 2022.
Le Sénat a en particulier été entendu sur l'inclusion des très grands moteurs de recherche dans le périmètre des obligations définies par le règlement et la prise en compte du critère d'audience (45 millions d'utilisateurs actifs du service dans l'Union) pour définir les très grandes plateformes en ligne et les très grands moteurs de recherche. Il n'est toutefois pas prévu que les régulateurs puissent soumettre au cas par cas d'autres plateformes aux obligations renforcées des très grandes plateformes, notamment en raison de leur taux de pénétration chez les jeunes publics.
En revanche, contrairement à ce que souhaitait le Sénat, le texte adopté n'a pas remis en cause le régime de responsabilité limitée des hébergeurs26(*), y compris des plateformes en ligne, par exemple lorsqu'ils ont permis la conclusion de contrats de vente de produits illicites ou dangereux ayant causé des dommages ou la diffusion de contenus illicites. On peut toutefois noter que, depuis lors, les obligations des fournisseurs de services d'hébergement ont été renforcées en matière de lutte contre le terrorisme en ligne27(*).
Le Sénat avait également attiré l'attention sur le fait que de nombreux fournisseurs de services sur Internet, autres que les plateformes en ligne, permettent de conclure des contrats de vente en ligne, y compris à titre accessoire mais le règlement n'a pas inclus cette problématique.
Par ailleurs, même si elle va mettre en place une supervision sur les très grandes plateformes, au sein d'un réseau de contrôle européen (Comité européen des services numériques) qui réunit les autorités de régulation nationales, la Commission européenne n'est pas dotée de pouvoir d'enquête et de sanction sur les très grandes plateformes, ce qui ne permettra pas de pallier l'inégale diligence des différentes autorités de régulation nationales à faire appliquer les régulations numériques.
S'agissant des signaleurs de confiance, le règlement ne permet pas non plus que ce statut puisse être accordé à certaines entités représentant des intérêts particuliers, telles que des marques, des sociétés de gestion de droits d'auteur ou des journalistes, dans le cadre d'activités de vérification de faits.
Il apparaît également que les spécificités du modèle économique des grandes plateformes en ligne ne sont pas pleinement prises en compte (exploitation par des algorithmes, aussi puissants qu'opaques, de très grandes quantités de données - en particulier de données à caractère personnel -, utilisées pour le ciblage des contenus et des publicités, en vue de maximiser le temps passé par l'utilisateur sur leurs services et, partant, les revenus publicitaires des plateformes) et que la responsabilité des fournisseurs de services intermédiaires utilisant des algorithmes d'ordonnancement des contenus n'a pas été renforcée.
Enfin, de manière générale, les dispositifs de protection des consommateurs prévus par le texte ne prennent pas pleinement en compte les recommandations du Sénat (par exemple en matière d'éthique et de respect des droits fondamentaux, obligatoires pour tous les algorithmes, dès leur création (lega by design) ou de lutte contre la viralité des contenus illicites ou de protection des mineurs (interdiction de la publicité ciblée pour les mineurs et droit à l'oubli pour les mineurs).
3. Adaptation du droit national et désignation des autorités nationales compétentes
S'agissant là encore d'un règlement directement applicable en droit interne et qui n'ouvre pas d'options, la mise en oeuvre en France du RSN s'accompagne de mesures d'adaptation de la loi pour la confiance dans l'économie numérique (articles 22 à 24) pour la mise en oeuvre (procédures, sanctions) et la mise en cohérence avec le RSN (définitions par renvois), y compris en matière de lutte contre les contenus terroristes et pédopornographiques.
Les autorités compétentes françaises pour la mise en oeuvre du RSN sont, selon le cas, l'Arcom, la Cnil ou la DGCCRF, l'Arcom étant désignée comme coordinateur national des services numériques (article 25).
Les pouvoirs d'enquête, d'exécution et de sanction de l'Arcom pour la mise en oeuvre du RSN sont précisés, ainsi que ceux de la DGCCRF et de la Cnil, pour faire respecter certaines obligations du RSN (profilage, publicité ciblée notamment) par les fournisseurs en ligne (article 32).
Des mesures d'adaptation sont également introduites dans le code de la consommation (article 26), afin de les rendre cohérentes avec la mise en oeuvre du RSN (contrôles par la DGCCRF et amendes civiles voire sanctions pénales en cas d'infraction, astreintes pouvant être prononcées par le juge aux fins de mise en conformité).
Il est également renvoyé aux définitions du RSN dans les lois relatives à la liberté de communication et la lutte contre la manipulation de l'information ainsi que dans le code électoral (articles 28 à 30).
Enfin, des coordinations sont prévues en matière de protection de la propriété intellectuelle (article 34).
* 25 Rapport d'information n° 274 (2021-2022) fait par Florence Blatrix Contat et Catherine Morin-Desailly au nom de la commission des affaires européennes, sur la proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques intitulé Amplifier la législation européenne sur les services numériques (DSA) pour sécuriser l'environnement en ligne, déposé le 8 décembre 2021.
* 26 Une résolution européenne avait été adoptée en ce sens par le Sénat le 27 septembre 2018. Il s'agit de la résolution n° 31 (2018-2019), présentée par Catherine Morin-Desailly et plusieurs de ses collègues, sur la responsabilisation partielle des hébergeurs.
* 27 Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne qui permettent la détection et le retrait des contenus en ligne concernés.