« La plupart des acteurs ont essayé de rentrer dans le rang » : un an après, quel bilan pour le DSA ?

C’est une législation qui visait à assurer la sécurité des utilisateurs, lutter contre les activités illégales et « créer un environnement équitable pour les plateformes en ligne ». Mais qui tarde, aussi, à produire ses premiers effets, malgré une certaine coopération de la part des plateformes.

Entrée en vigueur en août 2023 pour les plateformes désignées par Bruxelles, puis élargie à tous les intermédiaires en ligne le 17 février 2024, la législation sur les marchés numériques, ou Digital Services Act (DSA), a soufflé sa première bougie. Mais quel bilan peut-on dresser, à ce stade ? Le DSA a-t-il produit ses premiers résultats ou, à l’inverse, Internet reste-t-il « un Far West », comme s’en inquiétait Thierry Breton, commissaire européen au marché intérieur qui a porté ce texte jusqu’à sa démission en septembre 2024 ?

S’il reconnaît que le DSA « n’est pas encore pleinement mis en œuvre », Alan Walter, avocat spécialisé en droit des technologies, estime que « la plupart des acteurs ont essayé de rentrer dans le rang ». Dans un entretien accordé à BDM, il analyse, à froid, cette première année d’application du DSA, qu’il compare à un « round d’observation ».

Alan Walter, avocat associé chez Walter Billet Avocats

Avocat au Barreau de Paris depuis 2006, Alan Walter a exercé son activité au sein de plusieurs cabinets spécialisés en nouvelles technologies, comme Alain Bensoussan Avocats et Kahn & Associés, avant de cofonder son propre cabinet en 2015. Il intervient également à Télécom Paris et l’université Paris-Nanterre.

Pour bien situer le contexte : pouvez-vous me rappeler ce qu’est le DSA et ses principales mesures phares ?

ALAN WALTER – Le Digital Services Act (DSA) est un règlement européen qui, dans la même logique que le RGPD, vise à harmoniser la législation en matière de services numériques. Il repose sur plusieurs axes.

Le premier concerne la lutte contre les contenus illicites : l’objectif est de permettre à l’internaute de signaler ces contenus de manière plus efficace et d’assurer leur suppression rapide. En France, ce n’est pas vraiment une nouveauté puisque, depuis 2004, la Loi pour la Confiance dans l’Économique Numérique (LCEN) offre déjà un cadre pour lutter contre la prolifération de ces contenus. Mais le DSA a la particularité d’introduire deux nouveaux mécanismes, dont celles des « signaleurs de confiance » : des organismes agréés, qui seront considérés comme fiables lorsqu’ils notifient des contenus illicites. Actuellement, lorsqu’un utilisateur signale un contenu signale un contenu sur une plateforme comme Facebook, c’est son propriétaire, donc ici Meta, qui acte de la licéité du contenu. Le DSA introduit une autre mécanique particulièrement intéressante pour lutter contre les fraudes : il impose une procédure KYC (Know Your Customer) aux marketplaces. Comme les banques, les plateformes doivent désormais s’assurer du sérieux des vendeurs pour limiter les risques d’arnaques. Elles doivent notamment vérifier que ces vendeurs existent, et garantir qu’un recours soit possible en cas de problème.

Le deuxième axe du DSA concerne la transparence. Premièrement, le texte impose aux plateformes d’être parfaitement transparentes sur leurs processus de vérification, de gestion et de traitement des réclamations, qui étaient jusqu’ici souvent automatisés. Une personne humaine doit intervenir dans le traitement d’une demande, et la contestation est possible. Deuxièmement, elles doivent expliquer le fonctionnement de leurs algorithmes, une obligation déjà en vigueur en France.

Ça parait compliqué, comme ça, mais en réalité, ça revient à clarifier les critères de classement des résultats.

Enfin, le DSA interdit également la publicité ciblée pour les mineurs et vise à atténuer les risques liés aux réseaux sociaux et aux moteurs de recherche, comme la diffusion de fausses informations, le manque de diversité de contenus pour les utilisateurs, ou encore les tentatives d’ingérence dans les processus électoraux. Le règlement doit également s’attaquer à une pratique complexe à gérer : les dark patterns, théoriquement déjà interdits, mais souvent difficiles à identifier.

Dans chaque pays membre de l’UE, une autorité indépendante a été nommée pour veiller au respect du DSA. En France, il s’agit de l’Arcom, quel est son rôle précisément ?

On peut les comparer à la CNIL, mais au lieu de faire appliquer le RGPD, l’Arcom sera garante du respect du DSA. On retrouve les mêmes schémas et les mêmes problèmes : il s’agit d’une autorité administrative qui dispose de ressources humaines et financières limitées, et qui doit surveiller tout le monde.

Par la force des choses, l’Arcom va focaliser son attention sur les très grandes plateformes, comme Google, Meta, LinkedIn ou Zalando, avec la possibilité de leur infliger des amendes.

Quelles sont les plateformes faisant l’objet d’une surveillance rapprochée ?

X (Twitter) fait l’objet d’un suivi, notamment vis-à-vis de ses obligations de transparence. Il y a également eu des tensions avec Meta, qui a désactivé un outil de contrôle de transparence (CrowdTangle, NDLR), qui permettait d’identifier les schémas de suivi d’une information, en traçant son origine, son parcours et la manière dont elle atteignait un certain niveau de diffusion. Cet outil servait notamment à identifier les fake news.

Today we open cases against #Meta for suspected breach of #DSA obligations to protect integrity of elections:

▪️Inadequate ad moderation exploited for foreign interference & scams

▪️Inadequate data access to monitor elections

▪️Non-compliant tool for flagging illegal content pic.twitter.com/ZJHWNDm2MD

— Thierry Breton (@ThierryBreton) April 30, 2024

Peut-on considérer que la procédure lancée contre X (Twitter) fait office de « crash test » pour la Commission européenne ?

Complètement, et c’est ce qui rend la situation intéressante. La teneur du rapport va être particulièrement scrutée. Y aura-t-il une injonction de mise en conformité avec le DSA ? Une amende immédiate ? Cette procédure servira de référence pour les autres plateformes.

With great audience comes greater responsibility #DSA

As there is a risk of amplification of potentially harmful content in 🇪🇺 in connection with events with major audience around the world, I sent this letter to @elonmusk

📧⤵️ pic.twitter.com/P1IgxdPLzn

— Thierry Breton (@ThierryBreton) August 12, 2024

Plus d’un an après l’entrée en vigueur du DSA, quels sont les premiers résultats observables ?

Pour l’instant, on observe peu de changements. Par exemple, lorsque Meta a désactivé volontairement CrowdTangle, la Commission européenne est intervenue, en rappelant que ce n’était pas conforme au DSA, en leur demandant ce qu’ils comptaient proposer en remplacement. À ce jour, aucune réponse n’a été donnée. Cette première année ressemblait à un round d’observation. Mais il est très probable que l’Arcom diligente ses premières enquêtes au cours de l’année à venir. Il va falloir que l’organisme endosse son rôle de gendarme, comme dans le secteur des télécoms. Et peut-être que l’on discutera, en septembre 2025, des premières sanctions.

Peut-on dire que ces plateformes coopèrent ou qu’elles sont, au contraire, plutôt réticentes à le faire ?

Aujourd’hui, le DSA n’a pas encore été pleinement mis en œuvre, contrairement au RGPD, mais la temporalité n’est pas la même. En revanche, on ne peut pas dire que les plateformes ne coopèrent pas. La plupart des acteurs ont essayé de rentrer dans le rang, d’intégrer les fonctionnalités demandées et de diffuser les informations requises par la Commission européenne. Mais un an, c’est court et long à la fois, notamment lorsqu’on vous demande de mobiliser des ressources humaines et financières pour quelque chose qui n’est absolument pas productif. Quand il faut se mettre en conformité, les opérateurs traînent la patte. Mais ça n’a pas amusé beaucoup d’acteurs de se conformer au RGPD.

Peut-on s’imaginer, à terme, qu’une plateforme soit exclue du territoire européen ?

Ça paraît peu probable, mais ils peuvent le faire. Le DSA prévoit la possibilité de bloquer l’accès aux plateformes qui ne se conforment pas aux règles, ce qui serait une sanction bien plus sévère qu’une amende. On le voit avec les amendes liées au RGPD : les montants sont assez peu dissuasifs.

Les plateformes en ligne n’évoluent-elles pas trop vite pour être régulées ?

Oui et non. C’est vrai du droit en général. Plus un texte est rédigé de manière large et générique, plus il aura tendance à être pérenne. Mais il sera difficile à appliquer, car soumis à l’interprétation. À l’inverse, plus un texte est précis, plus il sera facile à mettre en œuvre. Et vite périmé.