Le Digital Service Act (DSA) est un texte européen qui vise à réguler les services numériques en ligne. Ce nouveau cadre réglementaire s’applique donc aux plateformes en ligne (qualifiées de « fournisseurs de services intermédiaires ») qui offrent leurs services sur le marché européen. Cela concerne notamment les hébergeurs, les moteurs de recherche, les réseaux sociaux, ou encore les places de marché en ligne.
Quels sont les objectifs du DSA ?
Tout comme le RGPD, l’un des objectifs du texte est d’établir des règles communes au sein de l’Union européenne, afin que tous les résidents de l’UE bénéficient du même niveau de protection en ligne. En d’autres termes et pour reprendre les mots de l’Arcom, « l’objectif du règlement est de construire un espace numérique unique et harmonisé à l’échelle européenne. Un espace de régulation des plateformes de contenus en ligne à la fois protecteur des publics et respectueux des libertés de chacun ».
Ainsi, le DSA établit un ensemble de règles qui exigent aux fournisseurs de services en ligne de mettre en place des mécanismes visant à restreindre la présence et la propagation de contenus illicites sur internet, à assurer la protection des données à caractère personnel et à respecter les droits & libertés des personnes physiques. L’objectif est également de responsabiliser ces acteurs du numérique, dans la lutte contre la propagation de contenus préjudiciables ou illégaux sur leurs services.
Quelles plateformes sont concernées ?
A compter du 25 août 2023, les plateformes et les moteurs de recherche de plus de 45 millions d’utilisateurs actifs par mois au sein de l’Union européenne, sont tenus de se conformer aux dispositions du DSA.
La Commission européenne a désigné 17 très grandes plateformes en ligne et 2 très grands moteurs de recherche en ligne1 (ex : Facebook, Instragram, Apple Store, Wikipédia, Bing, Youtube etc).
C’est à partir du 17 février 2024, que le règlement sera étendu à tous les fournisseurs qui offrent leurs services sur le marché européen.
- Types de cookies : distinguez entre les différents types de cookies utilisés sur le site web. Les classer en cookies nécessaires au fonctionnement du site, fonctionnels, de publicité, etc. Décrivez également la fonction de chacune de ces catégories afin d’aider les utilisateurs à comprendre leur impact sur leur expérience de navigation
- Liste des cookies : distinguez chaque cookie en fonction de sa finalité. Listez l’ensemble des cookies déposés en précisant pour chaque cookie les raisons pour lesquelles il est utilisé
- Identité du responsable du traitement : précisez pour chaque cookie l’identité du ou des responsables de traitement. Si des cookies tiers sont utilisés, soyez transparent quant aux pratiques des tiers. Pour ce faire, communiquez le lien correspondant à la page du tiers informant sur les modalités de traitement des données. Une liste complète et à jour de ces organismes doit être facilement accessible aux utilisateurs
- Données collectées : pour accroître la transparence, précisez les catégories de données que et affichez pour chacune les finalités concernées
- Finalités du traitement des données : détaillez les objectifs spécifiques pour lesquels les données collectées sont traitées. Il peut s’agir de l’optimisation du ou des sites web, de la personnalisation du contenu, des publicités, etc.
- Choix de l’utilisateur : expliquez comment les utilisateurs peuvent faire appliquer leurs préférences, en acceptant ou refusant les cookies. Précisez également les conséquences du refus ou de l’acceptation, notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement
- Durée de conservation : précisez la durée de vie des cookies ainsi que la durée de conservation des données. Informez clairement les utilisateurs sur les cookies de session qui expirent à la fin de la session de navigation et sur les cookies persistants qui restent stockés sur l’appareil de l’utilisateur pendant une période spécifique
- Gestion des cookies : offrez aux utilisateurs la possibilité de retirer leur consentement et de gérer facilement leurs choix en matière de cookies. Fournissez des informations sur la manière dont ils peuvent modifier leur choix, effacer les cookies ou encore les désactiver complètement, en précisant notamment les spécificités des différents navigateurs (Google Chrome, Mozilla Firefox, Internet Explorer, Safari …)
Cette politique vient en général compléter la politique de confidentialité informant sur les modalités de traitement des données à caractère personnel par le site concerné. Il est dès lors important d’inviter l’utilisateur à prendre connaissance également de la politique de confidentialité pour une information exhaustive sur les modalités de traitement de ses données.
Quelles sont les obligations ?
Les obligations du DSA varient selon le type de plateforme, leur taille et leur audience. Nous retrouvons des obligations communes pour tous les fournisseurs, mais aussi, en fonction de la catégorie du fournisseur, des obligations complémentaires. L’objectif est que les fournisseurs de services se voient soumis à des obligations proportionnées à leur taille. C’est pourquoi par exemple, les plateformes et les moteurs de recherche de plus de 45 millions d’utilisateurs, sont soumis à des obligations supplémentaires.
Dans les dispositions applicables à tous les fournisseurs de services intermédiaires, nous retrouvons par exemple l’obligation d’établir un point de contact au sein de leur organisme pour communiquer avec les autorités.
Dans les dispositions supplémentaires, nous retrouvons par exemple l’obligation de mettre en place des moyens pour signaler du contenu illicite sur leur service.
Comment se préparer ?
Pour savoir si vous êtes concerné par le DSA et afin d’assurer votre conformité :
- Vérifiez si les dispositions du DSA s’appliquent à votre activité, en menant une analyse sur les opérations de votre organisme.
- Examinez les procédures, politiques et pratiques déjà existantes, et mettez-les à jour en tenant compte des nouvelles dispositions (ex : adaptez les mentions d’information, mettez à jour les conditions générales, repensez certaines stratégies publicitaires / algorithmes, proposez un processus de gestion des signalements sur des contenus illicites, etc).
Le DSA et le RGPD
Le DSA impose de nouvelles obligations pour les fournisseurs de services en ligne et renforce les mesures existantes du RGPD.
- La responsabilité des entreprises est accentuée. Par les différentes obligations qu’impose le DSA aux fournisseurs de services en ligne, le règlement renforce la responsabilité de ces derniers dans la protection des droits et libertés des personnes.
- L’obligation de transparence envers les personnes est renforcée. En complément des articles du RGPD, le DSA impose aux plateformes d’être plus transparentes sur leurs pratiques, notamment par exemple sur le fonctionnement de leurs algorithmes.
- La protection des mineurs sur internet est renforcée. Le DSA interdit la publicité à destination des mineurs.
- La protection des données sensibles est renforcée.Le DSA interdit la publicité ciblée qui se base sur le traitement de données sensibles.
- L’analyse des risques est intensifiée. Les très grandes plateformes doivent évaluer et atténuer les risques systémiques et se soumettre à des audits indépendants chaque année.
Contrôle et risques en cas de non-respect
Chaque pays membre de l’Union dispose d’un « coordinateur des services numériques » qui est chargé de veiller au respect du DSA. En France, c’est l’Autorité de régulation de la communication audiovisuelle et numérique2 , aussi appelée ARCOM, qui est chargée de cette mission.
Les très grandes plateformes en ligne et les très grands moteurs de recherche sont eux surveillés par la Commission européenne.
En cas de non-respect de la réglementation, des astreintes et des sanctions pourront être prononcées envers les organismes.
Pour les très grandes plateformes et les très grands moteurs de recherche, la Commission européenne pourra infliger des amendes pouvant aller jusqu’à 6% de leur chiffre d’affaires mondial.
Aussi, en cas de manquements répétés, il sera possible d’interdire aux plateformes d’exercer leurs activités sur le marché européen.
