Dans une série de 3 articles consacrée à ce nouveau règlement, l’équipe IP/IT de Cloix Mendès-Gil revient sur les objectifs du texte, les acteurs concernés, et les obligations qui en découlent. Le mois dernier, nous nous intéressions au cadre général du Règlement, les acteurs qu’il concerne, et les sanctions qu’il prévoit. Il convient à présent de détailler les obligations et régimes de responsabilité pour l’ensemble des fournisseurs de services intermédiaires.

1 – Quelles sont les typologies de fournisseurs de services intermédiaires prévus par le DSA ?

Le règlement du 19 octobre 2022, Digital Services Act (ou DSA) s’adresse aux fournisseurs de services intermédiaires, typologie directement reprise de la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique.

Le texte distingue plusieurs catégories de ces fournisseurs :

• Les services de simple transport consistent à « transmettre, sur un réseau de communication, des informations fournies par un destinataire du service ou à fournir l’accès à un réseau de communication ». Il s’agit en principe des fournisseurs d’accès à Internet (FAI).

• Les services d’hébergement consistent à « stocker des informations fournies par un destinataire de service à la demande ». On retrouvera dans cette catégorie les hébergeurs de données ou de systèmes informatiques classiques (Microsoft Azure, Amazon Web Services, OVH…) mais également les plateformes de partage de contenu (Youtube, réseaux sociaux…) ou les cloud en ligne (Dropbox, iCloud, Mega…).

• Enfin, les services de mise en cache consistent à « transmettre, sur un réseau de communication, des informations fournies par un destinataire du service, impliquant le stockage automatique, intermédiaire et temporaire de ces informations, effectué dans le seul but de rendre plus efficace la transmission ultérieure de ces informations à d’autres destinataires à leur demande ». La mise en cache consiste concrètement à stocker un sous-ensemble de données afin qu’elles puissent être accessibles le plus rapidement possible par les visiteurs d’un site par exemple.

2 – Quel régime de responsabilité pour ces acteurs vis-à-vis du contenu transmis ?

Dans l’ensemble des cas présentés ci-dessus et prévus par le DSA, le rôle de l’intermédiaire est comme son nom l’indique de fournir l’infrastructure technique nécessaire à la transmission ou la publication
en ligne d’informations et de contenus. Similairement au régime prévu en droit français par l’article 6-I-3° de la loi de confiance en l’économie numérique concernant les hébergeurs, les intermédiaires de service ne seront pas responsables des informations qu’ils transmettent pour le compte de leurs clients ou utilisateurs.

Cependant, cette exemption de responsabilité est soumise au respect de conditions précises, qui varient selon l’acteur concerné. Ces conditions sont les suivantes :

Pour les services de simple transport :

• Ne pas être à l’origine de la transmission litigieuse ; 
• Ne pas sélectionner le destinataire ; 
• Ne pas sélectionner ou modifier les informations transmises ; 

Pour les services d’hébergement :

• Ne pas avoir connaissance du contenu illicite ; 
• Et agir promptement pour retirer ledit contenu ou en interdire l’accès dès qu’il en prend connaissance. 

Pour les services de mise en cache :

• Ne pas modifier les informations mises en cache ; 
• Respecter les conditions d’accès aux informations mises en cache ; 
• Respecter l’état de l’art des règles reconnues et mises en place par le secteur concernant la mise à jour des informations mises en cache ; 
• Ne pas entraver les usages licites de technologies reconnues et mises en place par le secteur pour obtenir des données sur l’utilisation des informations mises en cache ; 
• Agir promptement pour retirer ou interdire l’accès aux informations mises en cache dès que le fournisseur a connaissance du retrait des informations d’origine, ou du fait qu’une autorité judiciaire a ordonné le retrait desdites informations. 

Dans tous les cas, une autorité judiciaire ou administrative pourra exiger de chacun de ces fournisseurs qu’il mette fin à une infraction ou prévienne la commission d’une infraction qui serait commise par le biais de ses services.

Le DSA ne crée donc pas d’obligation générale de surveillance des contenus transitant par ces fournisseurs de services, dans la droite ligne de la directive commerce électronique de 2001.

Par rapport a ce précédent texte, le DSA apporte toutefois une nouveauté importante. Classiquement, l’intervention active du fournisseur de services dans le choix des contenus à publier ou retirer lui retirait le bénéfice du régime de responsabilité de l’hébergeur. Ce n’est plus le cas avec le DSA, qui préserve cette responsabilité atténuée pour le fournisseur qui mettrait en œuvre des initiatives visant à détecter et supprimer les contenus illicites. Cette clause dite du « bon samaritain » vise à l’évidence à inciter les fournisseurs de services à auto-réguler les contenus qu’ils hébergent ou transmettent.

3 – Quelles obligations générales communes ?

Le DSA oblige en premier lieu les fournisseurs de service à établir des points de contact facilement joignables, tant vis-à-vis de leurs utilisateurs/clients que des autorités.

Ainsi, il revient au fournisseur de service de rendre aisément accessible un point de contact unique à destination de leurs utilisateurs et des autorités. Dans le premier cas, il est précisé que l’utilisateur doit disposer d’un choix dans les moyens de communication utilisés.

Le point de contact des autorités pourra notamment être utilisé pour recevoir des injonctions de ces dernières, par exemple afin d’agir contre un contenu illicite. Le fournisseur de services devra informer l’autorité dans les meilleurs délais des suites données. Il devra également informer l’utilisateur concerné par l’injonction, lui exposer les motifs de cette dernière et les recours à sa disposition, au plus tard lorsqu’il entreprend des actions pour donner suite à l’injonction.

Par ailleurs, il reviendra aux fournisseurs établis hors du territoire de l’UE de désigner, pour leurs services entrant dans le cadre du DSA, un représentant légal.

Dans une volonté de transparence, le DSA prévoit également que chaque fournisseur publie chaque année un rapport de ses activités de modération. Ce dernier compilera des informations comme le nombre d’injonctions traitées émanant des autorités, les typologies de contenus signalés, le nombre de mesures prises… Il est important de noter que les micro et petites entreprises sont exemptées de cette obligation (moins de 50 employés, et moins de 10 millions d’euros de CA annuel ou bilan annuel). 

4 – Quelles modifications des conditions générales ? 

Enfin, le DSA va demander d’importantes modifications des conditions générales d’utilisation de ces fournisseurs de services. 

De nouvelles mentions devront préciser les conditions applicables : 

• Aux outils et procédures de modération utilisés ; 
• Aux restrictions imposées quant aux informations et contenus fournis par les utilisateurs ; 
• Aux algorithme de modération utilisés, ainsi qu’au réexamen par un humain de leurs décisions ; 
• Au fonctionnement du processus interne de traitement des réclamations. 

Des obligations plus transversales devraient également affecter la rédaction et la forme des conditions générales. Ainsi, le DSA prévoit qu’elles soient rédigées dans un langage clair, simple, intelligible, et sans ambiguïté. Elles doivent être accessibles et lisibles par une machine. 

Par ailleurs, le fournisseur de services qui s’adresserait principalement ou serait utilisé de manière prédominante par des mineurs devra s’assurer que ses conditions générales sont rédigées d’une manière compréhensible pour ces derniers. 

Dans le prochain article à venir, nous détailleront les obligations supplémentaires à la charge des hébergeurs, ainsi que deux catégories particulières : les plateformes de partage de contenus, et les marketplaces B2C.   

Le département Contrats informatiques, données & conformité vous accompagne dans votre mise en conformité avec la législation des espaces numériques. 

Pour toute question, n’hésitez pas à nous contacter.