- Le DSA crée un ensemble de règles uniformes et échelonnées pour les services d’intermédiation ayant un effet extraterritorial, qui couvre également les fournisseurs suisses et les services B2B.
- Des obligations particulièrement strictes, des exigences de transparence, de déclaration et de responsabilité ainsi que des sanctions élevées s’appliquent aux très grandes plateformes en ligne et aux moteurs de recherche.
Le Parlement européen et le Conseil se sont provisoirement mis d’accord politiquement sur le texte du Loi sur les services numériques (“DSA”). Le DSA fait partie de la stratégie de l’UE visant à assurer un marché unique numérique. L’objectif déclaré du DSA est de créer des règles du jeu uniformes pour les services d’intermédiation. Le champ d’application du DSA est plus large que ne le laisse supposer la notion de “services d’intermédiation”.
Champ d’application de la DSA et pertinence pour la Suisse
La notion de “services d’intermédiation” ne concerne pas uniquement les plateformes qui, en tant qu’agents, négocient des contrats portant sur des produits ou des services entre différents acteurs du marché. Au contraire, le DSA s’adresse également aux fournisseurs d’accès, aux moteurs de recherche, aux réseaux locaux sans fil ou aux services d’infrastructure en nuage. “IntermédiairesLe terme “DSA” décrit donc mieux le champ d’application subjectif de la DSA que le terme “DSA” utilisé dans le (dépassé) projet en allemand la notion de “services d’intermédiation”.
Comme le Loi sur les données le DSA a effet extraterritorial. Pour les fournisseurs suisses de services d’intermédiation, la DSA est donc également pertinente lorsqu’ils n’ont pas d’établissement dans l’EEE, mais qu’ils fournissent leurs services à des destinataires (ci-après dénommés “utilisateurs”) situés dans l’EEE, offrir. Selon la DSA, il faut partir de ce principe si le service d’intermédiation peut se prévaloir d’un nombre important d’utilisateurs de l’EEE ou si le service est orienté vers les utilisateurs de l’EEE. Les indices d’une telle orientation peuvent notamment être : (i) la monnaie, (ii) la livraison dans des États de l’EEE, ou (iii) l’offre de l’application dans l’App-Store national d’un État de l’EEE.
Il est en outre important de noter que les personnes morales peuvent également être des utilisateurs. Le DSA est pas de Droit de la protection des consommateurs et couvre également des services B2B.
Approches réglementaires nouvelles et reconditionnées – un aperçu
Le DSA souhaite atteindre l’objectif de créer des règles du jeu uniformes pour les services d’intermédiation par des approches réglementaires nouvelles et reconditionnées.
“Reconditionnés” sont surtout Privilèges en matière de responsabilité pour les services d’intermédiation, qui se trouvaient auparavant aux articles 12 – 15 de la directive 2001/31/CE (“directive sur le commerce électronique”). En conséquence, les articles 12 à 15 de la directive sur le commerce électronique sont remplacés par les privilèges de responsabilité du chapitre II de la DSA. Pour le reste, la directive sur le commerce électronique reste en vigueur. Comme jusqu’à présent, une distinction est faite entre les fournisseurs d’accès, les fournisseurs de caching et les fournisseurs d’hébergement en ce qui concerne les privilèges de responsabilité. En résumé, un fournisseur de services d’intermédiation bénéficie du privilège de responsabilité s’il se limite à son rôle d’intermédiaire. En revanche, s’il assume un rôle actif, de sorte qu’il a connaissance ou contrôle d’informations illicites (par exemple en assumant la responsabilité éditoriale, en collaborant sciemment avec des utilisateurs pour mener des activités illégales ou en n’agissant pas rapidement après avoir pris connaissance d’un contenu illicite), le privilège de responsabilité ne s’applique pas.
Le régime de contrôle est lui aussi (en principe) du vieux vin dans de nouvelles outres. Ce que les autorités nationales de protection des données sont sous le règlement général sur la protection des données (“RGPD”), ce sont les coordinateurs des services numériques sous le DSA. Au Comité européen de la protection des données (CEPD) correspond le Panel européen des services numériques. Comme le CEPD pour la protection des données, il doit contribuer à l’application uniforme de la DSA, notamment en élaborant des lignes directrices. Le principe de responsabilité, qui se retrouve dans le DSA, rappelle également le RGPD.
Ce qui est nouveau, en revanche, c’est le grand nombre d’obligations de diligence et de transparence que le DSA impose aux prestataires de services intermédiaires. Comme auparavant, les fournisseurs de services intermédiaires ne sont pas tenus de rechercher des contenus illicites de manière préventive ou sans motif.
La pyramide des devoirs du DSA
Le projet de DSA est visiblement motivé par le souci de proportionner les obligations imposées aux fournisseurs de services d’intermédiation à la nature des services concernés. Il en résulte une pyramide d’obligations :
Certaines obligations de base s’appliquent à tous les fournisseurs de services d’intermédiation. D’autres obligations s’ajoutent pour les fournisseurs de Services d’hébergementLes données sont stockées dans des bases de données de l’UE, c’est-à-dire des services qui stockent des informations pour le compte de l’utilisateur.
Les fournisseurs de plateformes en ligne doivent s’attendre à des obligations encore plus étendues et plus strictes. Plateformes en ligne sont de tels services d’hébergement qui diffusent publiquement (c’est-à-dire en dehors de groupes fermés d’utilisateurs) des informations stockées pour le compte de l’utilisateur. Les services de messagerie instantanée ou les services de courrier électronique ne relèvent donc pas de la notion de “service d’hébergement”. Petites et moyennes entreprises (“PME”) sont exemptées des obligations applicables aux plates-formes en ligne. en principe à l’exception de. Toutefois, les PME dont les plateformes en ligne permettent aux consommateurs de conclure des contrats à distance sont tout de même soumises aux obligations applicables en la matière. Sont considérées comme PME les entreprises qui (i) emploient moins de 250 personnes et (ii) dont le chiffre d’affaires annuel n’excède pas 50 millions d’euros ou dont le total du bilan annuel n’excède pas 43 millions d’euros.
Les obligations les plus strictes s’appliquent ensuite très grandes plates-formes en ligne et très grands moteurs de recherche en ligne. Sont considérés comme “très grands” les plates-formes en ligne ou les moteurs de recherche qui comptent en moyenne au moins 45 millions d’utilisateurs actifs par mois.
Les obligations les plus pertinentes selon l’auteur sont présentées ci-dessous, échelonnées selon les niveaux de la pyramide. La présentation ci-dessous n’est donc pas exhaustive.
Obligations applicables aux fournisseurs de tous les services d’intermédiation
Les fournisseurs qui ne sont pas établis dans un État de l’EEE doivent d’abord obtenir une autorisation. Représentant légal commander dans un État de l’EEE (art. 11). De plus, tous les fournisseurs devraient avoir une point de contact central comme point de contact pour les autorités de contrôle (art. 10). Contrairement au représentant légal, celui-ci ne doit pas être physiquement situé dans un État de l’EEE. L’exigence de mettre à disposition un “point de contact unique” pour les utilisateurs (art. 10a) devrait déjà être remplie par de nombreux fournisseurs.
Les fournisseurs de services d’intermédiation devront en outre Réviser les conditions générales (art. 12). Celles-ci doivent désormais comporter notamment des informations sur les restrictions concernant les informations fournies par les utilisateurs. Cela inclut notamment une information sur les processus et méthodes utilisés pour “modérer le contenu”, y compris la prise de décision algorithmique et les procédures internes de réclamation. Si un service s’adresse principalement à des mineurs ou est gravement utilisé par eux, les CGU doivent être rédigées dans une langue compréhensible pour eux.
La “modération de contenus” désigne les activités des fournisseurs visant à identifier, constater et combattre les contenus illégaux ou contraires aux CGU mis à disposition par les utilisateurs. Des exemples de telles activités sont par exemple la suppression du contenu concerné, la suspension du service ou le blocage du compte de l’utilisateur. La définition du contenu illicite doit tenir compte du reste du droit de l’UE et du droit des États membres. Des exemples de contenus illicites sont, par exemple, les contenus terroristes, la vente de produits contrefaits, le partage d’images privées sans autorisation ou les violations du droit de la consommation dans le cadre de la fourniture de services.
Les fournisseurs de services d’intermédiation doivent, chaque année et de manière accessible au public, rendre compte de ces activités (et des éventuelles autres obligations qui leur incombent en tant que fournisseur de services d’hébergement ou – le cas échéant – de très grandes plateformes en ligne ou de moteurs de recherche). Rapports de transparence de publier.
Obligations supplémentaires pour les fournisseurs de services d’hébergement
Les fournisseurs de services d’hébergement sont en outre tenus de fournir un Procédure de notification et de recours pour les contenus présumés illicites (art. 14). Dans la pratique, les fournisseurs devraient à l’avenir recourir de plus en plus souvent à un masque de saisie (au lieu de la simple indication d’une adresse électronique) pour faciliter, comme exigé, un signalement comportant les éléments mentionnés à l’article 14, paragraphe 2. La réception d’une telle notification implique que le fournisseur a connaissance du contenu présumé illicite (article 14, paragraphe 3). Si le fournisseur n’agit pas rapidement suite à la notification et que le contenu s’avère effectivement illégal, il perd le privilège de responsabilité de l’article 5.
DécideSi le fournisseur choisit (i) de limiter la visibilité du contenu (par exemple, de le supprimer, de le bloquer ou de le déclasser), (ii) de limiter la monétisation du contenu, (iii) de suspendre ou d’interrompre le service en tout ou en partie ou (iv) de suspendre ou de résilier le compte de l’utilisateur concerné, cette décision est en principe à justifier (art. 15, ci-après toutes les mesures ensemble les “mesures relatives au contenu”). La motivation doit notamment mentionner la base juridique pertinente ou la disposition des conditions générales dont résulte l’illicéité du contenu et informer des voies de recours (telles que les voies de recours judiciaires).
En outre, les fournisseurs de services d’hébergement doivent informer les autorités compétentes des éventuelles infractions contre la vie et l’intégrité corporelle (art. 15a).
Obligations supplémentaires pour les fournisseurs de plateformes en ligne
Pour les fournisseurs de plateformes en ligne, d’autres obligations s’ajoutent à celles applicables aux services d’hébergement. Ils sont notamment tenus de fournir un système interne de gestion des plaintes pour traiter les plaintes concernant les mesures de contenu (prises ou non) (art. 17). La procédure de plainte est réglée en détail. Comme moyen de recours contre les décisions de plainte du fournisseur, le DSA prévoit notamment le règlement extrajudiciaire des litiges auprès d’un organisme agréé par le coordinateur des services numériques (art. 18).
Il convient également de noter que les fournisseurs de plates-formes en ligne en cas de téléchargement fréquent et manifeste de contenus illégaux sont tenus à l’avenir de Service à l’égard de l’utilisateur remarquable, après avertissement préalable pour suspendre pendant une durée appropriée (art. 19, al. 1). En Suisse, une démarche proactive des fournisseurs d’hébergement (dont font partie les fournisseurs de plateformes en ligne) n’est jusqu’à présent expressément réglée qu’à l’art. 39d LDA. Contrairement à l’art. 19 al. 1 DSA, qui prévoit la suspension de la Service l’art. 39d LDA n’exige du fournisseur “que” le re-téléchargement du fichier concerné. Œuvre d’empêcher
En outre, les fournisseurs de plateformes en ligne ne doivent pas présenter des interfaces utilisateur trompeuses (Interdiction des “dark patterns, art. 23a). Les utilisateurs doivent être en mesure de faire des choix volontaires et éclairés. En particulier, la résiliation d’un service doit être aussi simple que l’inscription.
Sur Publicité en ligne doit en outre être améliorée au moyen de Obligations d’étiquetage augmenter la transparence (art. 24). A l’avenir, non seulement la publicité devra être identifiée en tant que telle, mais l’annonceur devra également être indiqué. S’il s’agit d’une publicité personnalisée, les paramètres les plus importants pour la personnalisation doivent en outre être révélés. La publicité personnalisée n’est pas autorisée (i) sur la base de données personnelles sensibles et (ii) à l’égard des mineurs.
La plate-forme en ligne donne-t-elle la priorité à certaines informations (par exemple, sélection de certaines contributions que la plate-forme considère comme particulièrement intéressantes pour l’utilisateur) ou utilise-t-elle un autre moyen de communication ? Système de recommandationD’autres obligations s’y rattachent. Par exemple, les conditions générales doivent indiquer quels sont les critères essentiels utilisés pour la recommandation.
Peuvent être consultés sur la plateforme en ligne Contrats de vente à distance B2C sont fermés, les fournisseurs de plateformes en ligne sont obligés de Entrepreneur des produits/services fournis à identifier (art. 24c). Pour l’identification, une copie d’une pièce d’identité ou un extrait du registre du commerce doivent être exigés, selon les circonstances. En outre, le fournisseur de la plateforme en ligne doit faire des efforts raisonnables pour vérifier les données de l’entrepreneur. vérifier.
En outre, les plateformes en ligne permettant aux consommateurs de conclure des contrats à distance doivent être conçues de manière à ce que les entrepreneurs soient notamment en mesure de fournir les informations obligatoires requises par le droit de l’Union en ce qui concerne les produits/services qu’ils proposent (art. 24d). A cela s’ajoute le fait que les fournisseurs de plateformes en ligne sont tenus de faire de leur mieux (“best effort”) pour vérifier, si les entrepreneurs les contrats précontractuels et les contrats relatifs aux produits. Respecter les obligations d’information. Ce n’est qu’à cette condition que les entrepreneurs seront autorisés à proposer leurs produits ou services sur la plateforme en ligne. Il convient de souligner ici que les obligations relatives à la médiation des contrats à distance, à prendre en compte également par les fournisseurs de PME sont
Obligations supplémentaires applicables aux fournisseurs de très grandes plateformes en ligne ou de moteurs de recherche
Les fournisseurs de très grandes plateformes en ligne ou de moteurs de recherche sont soumis à des obligations encore plus importantes, comme par exemple l’obligation
- pour l’évaluation annuelle des risques systémiques (art. 26) et de prendre d’éventuelles mesures pour réduire les risques (art. 27) ;
- de faire réaliser un audit annuel à ses frais (art. 28) ;
- pour les systèmes de recommandation, de proposer au moins une option qui ne soit pas basée sur le profilage (article 29) ;
- de désigner un responsable de la conformité indépendant (externe ou interne) (art. 32) ; et
- de résumer les conditions générales de manière claire et compréhensible (article 12, paragraphe 2a).
Autre nouveauté : les très grandes plateformes en ligne ou les moteurs de recherche sont réglementés de manière similaire à une infrastructure critique et peuvent être obligés par la Commission européenne à prendre des mesures spécifiques en cas de crise (art. 27a). On peut par exemple imaginer que les fournisseurs doivent afficher certains avertissements à la demande de la Commission.
Sanctions et application
Le DSA doit être utilisé au moyen d’un Droit de recours des utilisateurs auprès du coordinateur de services numériques (art. 43) et par Co-régulation doivent être imposés. Par exemple, pour la lutte contre les risques systémiques ou la publicité en ligne, des “codes de conduite” doivent être élaborés en collaboration avec les fournisseurs et les autres parties prenantes (art. 35 et suivants).
De plus, certaines infractions à la DSA peuvent être sanctionnées par des amendes. Amendes d’un montant de max. 6% du chiffre d’affaires annuel mondial être mis à l’amende. Astreintes peuvent atteindre une hauteur de max. 5% du chiffre d’affaires quotidien mondial ou de revenu.
Les autorités compétentes reçoivent également des pouvoirs d’enquête et de surveillance étendus comme un droit d’audit ou le droit de prendre des mesures provisoires. Pour très grande plates-formes en ligne/moteurs de recherche est Commission européenne responsable.
Évaluation et conseils pratiques
Ce qui frappe d’abord, c’est le approche réglementaire principalement basée sur le droit public de la DSA. Contrairement au RGPD, qui réglemente en détail les droits des personnes concernées (par exemple les droits d’accès ou de suppression), la DSA se limite essentiellement à des obligations de surveillance et ne prévoit pas de catalogue de droits (de droit civil) pour les utilisateurs, les titulaires de droits et/ou les autres personnes concernées par des contenus illicites. Ces droits sont régis par le reste du droit national ou européen (par exemple le droit de la concurrence déloyale, le droit de la protection des données ou le droit de la propriété intellectuelle).
Il faut saluer le catalogue d’obligations échelonné selon le type de service, qui tient en outre compte des PME.
Excédentaire sont cependant – et ces obligations s’appliquent malheureusement aussi aux PME – du point de vue de l’auteur les Obligations de fournisseurs de plateformes en ligne en ce qui concerne les contrats à distance. Cela vaut tout particulièrement pour l’obligation des fournisseurs de vérifier si les professionnels respectent leurs obligations d’information précontractuelles (par exemple le droit de rétractation du consommateur) et leurs éventuelles autres obligations d’information (par exemple en matière de sécurité des produits). De cette manière, les fournisseurs s’éloignent de l’intermédiaire et se rapprochent des fournisseurs de contenu qui exercent un contrôle sur les informations. La règle du “meilleur effort” en ce qui concerne cette obligation de vérification part d’une bonne intention, mais n’est guère utile au final. Même dans le cas d’une obligation de “best effort”, le fournisseur doit au moins agir et s’occuper des éventuels problèmes liés au contenu. Entrepreneur d’information en vigueur. Cela devrait représenter une charge de travail non négligeable et être difficile à gérer pour les PME. Ceci est d’autant plus vrai que le droit européen ne cesse de renforcer les obligations d’information précontractuelles (comme le prévoit par exemple la proposition de la Commission relative au Data Act sur les appareils connectés).
De plus, l’AVD pourrait être complétée par quelques Mieux intégrer les réglementations de l’UE de la loi. Il s’agit notamment de l’AI-Act, qui prévoit des obligations de transparence et d’autres obligations concernant les systèmes d’intelligence artificielle. Le chevauchement entre la DSA et l’article 17 de la directive sur le droit d’auteur UE 2019/790 (DSM) est également frappant. L’article 17, paragraphe 4, lettre c de la directive DSM impose aux fournisseurs de services, après réception d’un dûment justifiée L’article 2, paragraphe 2, de la directive prévoit que les États membres doivent agir promptement pour bloquer l’accès aux contenus protégés par des droits d’auteur ou les retirer. Il reste à savoir si, dans le cadre de la DSMA, un avis ne peut être considéré comme “dûment motivé” que s’il contient les détails visés à l’article 14, paragraphe 2 de la DSMA. Alors que l’article 17, paragraphe 4, alinéa c de la Directive SMAV impose au prestataire de services de bloquer ou de supprimer sans délai le contenu présumé enfreindre le droit d’auteur afin de ne pas engager sa propre responsabilité, l’article 17, paragraphe 3 de la Directive SMAV peut l’obliger à annuler le blocage ou la suppression du contenu suite à une décision sur plainte. En revanche, la directive DSM ne prévoit pas de mécanisme d’escalade interne par le biais d’une plainte.
L’application pratique de la DSA devrait donc soulever des questions passionnantes pour les entreprises. Dans ce contexte, les entreprises devraient garder à l’esprit que la Commission européenne a appris depuis le RGPD. Ainsi, la lacune d’application partiellement critiquée sous le RGPD en cas d’inaction de l’autorité de surveillance responsable est abordée. La Commission européenne peut, dans certaines conditions, inciter le coordinateur des services numériques (jusqu’ici inactif) à prendre des mesures d’enquête et de surveillance (art. 45a, al. 3).
Avec un la reproduction autonome du DSA par la Suisse est basée sur les Avis du Conseil fédéral du 25 août 2021 plutôt pas à prévoir. On peut y lire que l’administration fédérale voulait éventuellement prendre des mesures pour éviter que la Suisse ne soit exclue du DSA (par exemple en ce qui concerne les restrictions d’accès au marché), il en résulte des inconvénients. De telles mesures n’ont pas été communiquées jusqu’à présent, pour autant que l’on puisse en juger.