Deuxième partie – comment la CJUE a précisé les contours des services de la société de l’information et les possibilités d’action des Etats membres.
Jusqu’en 2017, la CJUE n’a tranché que peu de questions préjudicielles relatives aux services de la société de l’information. Surtout, les litiges à l’origine des questions étaient cantonnés au territoire d’un seul État membre et ne comportaient pas de demandes d’éclaircissement relatives à l’article 3 et aux conditions dans lesquelles un État membre pouvait déroger à la liberté de circulation des services de la société de l’information (principe qu’on peut assimiler au « principe du pays d’origine »)[1].
Plusieurs affaires concernant de très grandes plateformes ont, à partir de la fin des années 2010, conduit la CJUE à préciser, d’une part le champ d’application de la directive 2000/31 en présence d’un service mixte combinant une prestation par Internet avec une prestation réelle et, d’autre part, la portée de l’article 3 de cette même directive qui concerne les mesures dérogatoires au principe du pays d’origine pouvant être prises par les États membres.
Affaires « Uber Pop » (2017 et 2018) : une application ou plateforme qui organise un service global dont la partie physique est indissociable de la partie en ligne n’est pas un service de la société de l’information.
La situation a commencé à évoluer en 2017 et 2018 avec deux questions préjudicielles successives transmises respectivement par un juge espagnol et par un juge français qui concernaient toutes deux Uber et particulièrement son service « Uber POP ». Rappelons d’abord que la maison mère d’Uber est établie en Californie et que ses activités en Europe sont pilotées depuis les Pays-Bas. Toutefois, il existe des filiales « nationales » dans les États membres de l’UE mais celles-ci assurent principalement la promotion des services d’Uber. Se posait donc la question de l’application de l’article 3 de la directive 2000/31/CE. Par ailleurs, le service « Uber Pop » (qui, aujourd’hui, n’est plus proposé) se distinguait d’un service de VTC classique en ce que l’application qui lui était associée mettait des clients en relations avec des chauffeurs non professionnels, non titulaires d’une licence de conducteur de VTC ou de taxi.
Dans l’affaire espagnole[2], une compagnie de taxis barcelonaise avait attaqué Uber devant la justice, sur le service Uber Pop pour concurrence déloyale et pratiques commerciales trompeuses. En France, Uber était poursuivi devant la chambre correctionnelle du tribunal judicaire de Lille pour complicité d’exercice illégal de la profession de taxi et pour avoir organisé un système de réservation illégal ainsi que, comme en Espagne, pour pratiques commerciales trompeuses[3].
Ces litiges ont donné lieu à deux questions préjudicielles dans lesquelles la CJUE devait d’abord se prononcer sur la nature du service proposé par Uber au moyen de l’application « Uber POP ». S’agissait-il d’un service de la société de l’information, relevant des directives 98-34 et 2000/31, d’un service de mise en relation régi par la directive « services » ou d’un service relevant du domaine des transports, lequel fait l’objet d’un titre particulier du TFUE (qui couvre notamment la libre prestation de service en matière de transport) ?
Dans les deux arrêts, la CJUE a analysé le service « Uber Pop » comme un « service global » qui relevait, en réalité, du domaine des transports. En effet, dans la mesure où l’application permettait de réserver un transport effectué par un chauffeur non professionnel, ce dernier n’aurait pas pu, contrairement, par exemple, à un taxi indépendant qui peut ou non s’affilier auprès d’une centrale de réservation, exercer son activité autrement qu’en contractant avec Uber et en étant adressé aux clients au moyen de l’application Uber Pop. Par ailleurs, la CJUE a constaté qu’Uber fixait le prix du service et sa commission, en percevait le règlement et contrôlait les modalités de la prestation (qualité du véhicule, comportement du chauffeur). Elle a ainsi considéré qu’Uber créait, en réalité, une offre autonome de transport et exerçait une influence décisive sur les prestations correspondante[4]. L’outil de réservation en ligne n’est, dans de telles conditions, pas détachable de la prestation de transports.
La CJUE en a logiquement conclu que la directive sur les services de la société de l’information n’était pas applicable.
Et dès lors que la directive « services » exclut expressément de son champ d’application les services relevant du domaine des transports, c’était bien le titre VI du TFUE, consacré aux transports et à leur politique commune, qui constituait la base juridique applicable aux affaires[5].
Dès lors, la CJUE a considéré que l’Espagne et la France n’avaient pas à notifier leurs réglementations respectives en application de la directive 98/34/CE ni à notifier aux Pays-Bas et à la Commission européenne les poursuites engagées contre Uber en application de l’article 3 de la directive 2000/31.
Affaire « AirBnb Ireland» (2019) : AirBnb est un service de la société de l’information piloté depuis l’Irlande. La France ne peut prétendre le réguler sans respecter la directive 2000/31.
Cependant, la CJUE n’a pas appliqué, par la suite, le même raisonnement au service fourni par AirBnb[6].
Une association française réunissant des agents immobiliers et des hôteliers avait porté plainte contre AirBnb pour exercice illégal de l’activité d’agent immobilier. L’exercice de cette profession nécessite en effet d’obtenir une autorisation administrative matérialisée par une carte professionnelle et l’article 14 de la loi « Hoguet » du 2 janvier 1970 (qui réglemente l’activité d’agent immobilier) sanctionne de six mois d’emprisonnement et de 7 500 € d’amende le fait de « se livrer ou de prêter son concours d’une manière habituelle, y compris à titre accessoire, aux activités d’agent immobilier sans carte professionnelle ». Or AirBnb n’avait jamais détenu cette carte.
Au terme d’une enquête préliminaire du parquet, une information judiciaire avait été ouverte. Cependant, les cadres d’AirBnb France, entendus comme témoins assistés par le juge d’instruction, avaient fait valoir, d’une part que AirBnb se bornait à mettre en relation des propriétaires de logement désireux de les louer temporairement à des personnes recherchant de tels hébergements et ne pratiquait donc pas réellement d’entremise immobilière et, d’autre part qu’ils n’étaient que les représentants locaux d’une société établie en Irlande qui fournissait un service de la société de l’information. Or, la France n’avait notifié aucune restriction à une activité du type de celle d’AirBnb, ni sur le fondement de la directive 98/34 ni sur celui de la directive 2000/31. AirBnb faisait donc valoir que la loi Hoguet ne lui était pas opposable.
Le juge d’instruction a choisi de transmettre deux questions à la CJUE qui peuvent être ainsi résumées.
- le service offert par AirBnb relève-t-il de la directive 2000/31/CE ?
- les prescriptions restrictives de la loi Hoguet sont-elles applicables à AirBnb, société de droit irlandais prestant en France par voie électronique ?
L’association requérante, rejointe sur ce point par le gouvernement français, soutenait qu’AirBnb n’était pas un service de la société de l’information et fournissait, comme Uber Pop, un service global.
En effet, elle proposait différentes prestations (aide à l’évaluation du loyer, réalisation de photos professionnelles du bien à louer) qui constituaient les éléments de ce service. De plus, à l’instar d’Uber dans le domaine des transports, la plateforme aurait exercé une influence déterminante sur le marché de la location touristique, compte tenu de sa croissance et de la part de marché atteinte. Selon cette thèse, le service proposé par AirBnb ne ressortait donc pas de la directive 2000/31/CE mais bien de la directive « services »[7].
Dans sa réponse, formulée le 19 décembre 2019, la CJUE n’a pas accueilli cette argumentation. En effet, elle a considéré en premier lieu que le service d’AirBnb s’apparentait davantage à un service d’annuaire électronique qu’à un service complet d’entremise immobilière. En second lieu, elle a relevé que, si que AirBnb proposait systématiquement à ses utilisateurs un prix pour leur location, elle ne fixait pas ce dernier : le propriétaire du bien à louer pouvait refuser la proposition. Par conséquent, AirBnb relevait bien de la directive sur les services de la société de l’information car son service restait autonome par rapport à la location elle-même.
En réponse à la seconde question du juge d’instruction, la CJUE a dit pour droit que la loi Hoguet n’était pas opposable à AirBnb. En effet, cette loi n’avait jamais été notifiée, que ce soit en application de la directive 98/34 ou de la directive 2000/31.
Le fait que la loi Hoguet n’avait pu être notifiée lors de son adoption, bien antérieure à celle des directives, ne change rien à ce constat. La CJUE a en effet précisé que « le législateur de l’Union n’a pas prévu de dérogation autorisant les États membres à maintenir des mesures antérieures »[8] à la directive 2000/31/CE.
Elle a donc conclu qu’«un particulier peut s’opposer à ce que lui soient appliquées, dans le cadre d’une procédure pénale avec constitution de partie civile, des mesures d’un État membre restreignant la libre circulation d’un service de la société de l’information qu’il fournit à partir d’un autre État membre, lorsque lesdites mesures n’ont pas été notifiées conformément à cette disposition »[9].
Le mode d’emploi précis de la directive 2000/31 restait cependant à préciser. En effet, le b) du paragraphe 4 de l’article 3 indique que l’État membre qui veut prendre des mesures dérogeant au principe du pays d’origine doit au préalable demander au pays d’origine de prendre des mesures mais « sans préjudice de la procédure judiciaire, y compris de la procédure d’enquête préliminaire et les actes accomplis dans le cadre d’une enquête pénale »[10].
Dans le cas d’AirBnb, on peut penser l’enquête préliminaire du parquet était donc, a priori, licite. Mais dans ce cas, si la loi Hoguet avait fait l’objet d’une notification préalable sur le fondement de la directive 98/34, à quel stade de la procédure pénale aurait-il fallu transmettre à l’Irlande une demande de prendre des mesures à l’encontre d’AirBnb et qui, de l’administration ou de l’autorité judiciaire, aurait eu compétence pour le faire ?
Affaire Google Meta Tiktok (2023). Des dispositions générales et abstraites ne sont pas opposables en tant que telles à un service de la société de l’information établi dans un autre État membre.
Une loi autrichienne imposait aux plateformes de partage de vidéos de mettre en place un dispositif de traitement des réclamations et de désigner une personne « point de contact », chargée de traiter les notifications des autorités administratives et judiciaires. La loi était applicable à l’ensemble des plateformes, que les sociétés les exploitant soient ou non établies en Autriche. Ces mesures, bien que comparables à des dispositions qui figurent dans le digital service act étaient antérieures à la date de début d’application de ce règlement et n’étaient donc prises que sur une base purement nationale.
Trois entreprises majeures d’Internet, Google, Méta et Tiktok, avaient écrit à l’autorité indépendante autrichienne chargée de l’application des mesures pour lui demander confirmation que les dispositions de la loi ne pouvaient leur être appliquées puisqu’elles n’étaient pas établies en Autriche. Cette autorité leur a opposé un refus, signifiant donc que les mesures en question étaient bien applicables à des plateformes situées notamment en Irlande. Ce refus a été contesté par les plateformes devant les juridictions autrichiennes.
La Cour administrative d’Autriche (juridiction d’appel) a interrogé la CJUE sur les deux points suivants :
Les dispositions autrichiennes, de nature législative, revêtaient un caractère général et abstrait et s’imposaient à tous les opérateurs. Il ne fait aucun doute qu’elles visaient des services de la société de l’information. Étaient-elles, dès lors, comprises dans le champ d’application de l’article 3 de la directive sur les services de la société de l’information ? Et étaient-elles opposables dans la mesure où elles n’avaient pas été notifiées comme le prévoit la directive ?
En réponse, la CJUE a dit pour droit, le 9 novembre 2023[11], que de telles obligations générales et abstraites ne relevaient pas en tant que telles du champ d’application de l’article 3 mais qu’elles n’en étaient pas moins inopposables.
Suivant en cela les conclusions de l’avocat général, M. Maciej Szpunar[12], la CJUE déduit des termes mêmes de l’article 3 que celui-ci couvre des mesures prises « au cas par cas » visant un service donné et non des obligations de portée générale visant une catégorie de services. Par ailleurs, le paragraphe 4 de l’article définit une procédure précise qui ne peut viser qu’un service à la fois, puisqu’il impose à l’État membre qui veut déroger au principe du pays d’origine de demander d’abord à l’État membre d’établissement de prendre des mesures et de n’appliquer ses propres mesures qu’en cas de refus de cet État membre.
Comme le remarque M. Szpunar dans ses conclusions[13], toute autre interprétation rendrait incompréhensible la coexistence des deux notifications prévues respectivement par la directive 2015/1535 et par la directive 2000/31.
Il paraît donc cohérent de penser que la notification de règles générales et abstraites relève de la première directive et que la notification prévue par la seconde concerne plutôt des décisions individuelles. En tout état de cause, seules des mesures permettant d’identifier un prestataire sont susceptibles de faire l’objet d’une demande à l’État membre d’établissement par l’État membre de destination du service.
La CJUE ne peut finalement que constater[14] que : « permettre aux États membres d’adopter, au titre de l’article 3, paragraphe 4, de la directive 2000/31, des mesures à caractère général et abstrait visant une catégorie de services donnés de la société de l’information décrite en des termes généraux et s’appliquant indistinctement à tout prestataire de cette catégorie de services reviendrait in fine à soumettre les prestataires de services concernés à des législations différentes et, partant, à réintroduire les obstacles juridiques à la libre prestation que cette directive vise à supprimer ».
Deux affaires en cours devfraient amener la CJUE a affiner encore plus sa jurisprudence.
Affaires AirBnb et Amazon Italie (2024, arrêt non encore rendu)
Dans des conclusions formulées le 11 janvier 2024 dans le cadre d’un litige relatif à une réglementation italienne imposant aux plateformes, et notamment à AirBnb et à Amazon, de s’inscrire sur un registre national et de fournir un certain nombre d’informations à l’autorité de tutelle italienne des communications, M. Maciej Szpunar a été amené à donner des précisions sur l’interprétation de l’article 3[15].
Il réaffirme tout d’abord que les mesures prises par l’État membre de destination n’entrent dans le champ d’application de l’article 3 que lorsqu’elles ciblent un prestataire identifié et qu’elles sont prises « au cas par cas ». Une loi ou une réglementation nationale ne saurait donc s’appliquer par défaut à un prestataire de services en ligne établi dans un autre État membre. En revanche, les mesures individuelles prises pour l’exécution de la loi peuvent relever de l’article 3 si la procédure prévue par cet article est respectée.
Toutefois, les autres conditions fixées par cet article doivent être respectées. En premier lieu, les mesures dérogatoires doivent être justifiées par une des raisons d’intérêt général limitativement énumérées au point a) du paragraphe 4 de l’article 3 (ordre public, sécurité publique, santé publique et protection des consommateurs). À ce titre, l’avocat général relève qu’une réglementation présentée par l’Italie comme nécessaire à l’application du règlement platforms to business[16] dont l’objectif est de clarifier les relations entre les grandes plateformes de commerce électronique et les vendeurs indépendants qui y proposent leurs produits ne saurait être justifiée par la protection des consommateurs puisque ledit règlement s’applique aux relations entre professionnels.
En second lieu, les mesures qu’entend prendre l’État membre de destination des services doivent respecter le principe de proportionnalité, donc être les plus légères possible dès lors qu’elles permettent d’atteindre l’objectif d’intérêt général visé.
Ces considérations ne surprendront pas le lecteur car elles ne font qu’étendre à la directive 2000/31/CE des principes de jurisprudence appliqués de longue date, notamment dans l’interprétation de la directive 2006/123/CE sur les services dans le marché intérieur. Ce qui est applicable, de manière générale, à la libre prestation de services fournis en présentiel vaut aussi pour les services numériques.
Dans une récente question préjudicielle relative à la protection des mineurs contre les sites pornographiques en ligne, le Conseil d’Etat interroge la CJUE sur l’application du droit pénal à des prestataires non établis en France.
Le 6 mars 2024, le Conseil d’État a transmis à la CJUE une question préjudicielle relative aux dispositions issues de la loi du 30 juillet 2020 et de son décret d’application du 7 octobre 2021 qui permettent à l’ARCOM d’enjoindre aux éditeurs de sites pornographiques de mettre en place un dispositif de contrôle de l’âge des utilisateurs et, en cas de non-respect de l’injonction d’enjoindre aux fournisseurs d’accès de rendre impossible au public français l’accès à ces sites.
Saisi par un éditeur de site pornographique établi en République Tchèque d’un recours en annulation contre le du 7 octobre 2021 (relatif à la procédure d’injonction et aux pouvoirs de l’ARCOM), le Conseil d’État a rejeté l’essentiel des griefs du requérant, considérant que le décret pouvait, en droit, fixer une obligation de moyens aux éditeurs des sites incriminés « tout en leur laissant le choix des dispositifs techniques appropriés ».
Toutefois, il a relevé que, ni l’article 23 de la loi du 30 juillet 2020 ni le lancement d’une procédure à l’encontre d’éditeurs de site pour adultes par l’ARCOM n’avaient fait l’objet de la notification prévue à l’article 3 de la directive 2000/31/CE. Tirant les conséquences de l’arrêt « Google, Meta, TiktoK » de novembre 2023, il a transmis une question préjudicielle à la CJUE. Il ne fait en effet guère de doute que les dispositions de la loi du 30 juillet 2020 constituent des dispositions générales et abstraites comme l’était le dispositif de modération exigé par la loi autrichienne.
Le Conseil d’État relève d’abord que la directive 2000/31 n’empêche pas les États membres « d’exiger d’un prestataire qu’il mette un terme à une violation ou qu’il prévienne une violation ». Par ailleurs, la réglementation ne concerne aucun des points relevant du domaine coordonné instauré par la directive. En effet, elle ne concerne « ni l’établissement des prestataires, ni les communications commerciales, ni les contrats par voie électronique, ni le régime de responsabilité des intermédiaires, ni les codes de conduite, ni le règlement extrajudiciaire des litiges, ni les recours juridictionnels et la coopération entre États membres ».
Le Conseil d’État, estime néanmoins qu’il existe un doute sérieux sur la portée de l’article 3 de la directive dans la mesure où il pourrait affecter la mise en œuvre du droit pénal français. La CJUE est donc interrogée sur le point de savoir si « les dispositions générales et abstraites qui désignent certains agissements comme constitutifs d’une infraction pénale susceptible de poursuites, doivent être regardées comme relevant du « domaine coordonné » institué par la directive.
Dans l’affirmative, et compte tenu des enjeux d’ordre public et de protection de l’enfance qui s’attachent à l’affaire, « comment doit s’opérer la conciliation entre les exigences résultant de la directive 2000/31/CE et celles qui découlent de la protection des droits fondamentaux dans l’Union européenne, plus particulièrement de la protection de la dignité humaine et de l’intérêt supérieur de l’enfant » qui sont garantis par le droit de l’Union ? »
III – Premiers recours contre des décisions appliquant le règlement sur les services numériques (DSA)
Le règlement sur les services numériques est un texte trop récent pour que l’on dispose d’une jurisprudence de la CJUE sur le fond mais on peut penser que celle-ci sera amenée à préciser dans les années à venir les conditions de son application et la coordination de ses dispositions avec celles de la directive 2000/31.
Par trois décisions successives, la Commission européenne a désigné au total 23 sites comme relevant de la qualification de très grandes plateformes en ligne : 2 moteurs de recherche, 6 sites de commerce ou de réservation de services, 2 sites de téléchargement d’application, 6 réseaux sociaux et 7 sites collaboratifs ou plateformes de partage de vidéo au nombre desquelles figurent 3 sites pornographiques[17].
Plusieurs sites ont annoncé qu’ils contesteraient la décision de la Commission devant les juridictions européennes. Ainsi, le site de commerce en ligne Zalando a introduit le 27 juin un recours devant le tribunal de l’UE. Amazon, qui avait élevé un recours en référé devant la même juridiction le 5 juillet 2023, a dans un premier temps obtenu partiellement gain de cause : le tribunal a suspendu, le 27 septembre, la décision de la Commission en tant qu’elle obligeait Amazon à mettre à la disposition du public certaines informations sur la publicité apparaissant sur son site. La Commission s’est pourvue en appel devant la CJUE qui, le 27 mars 2024, a annulé la suspension.
En effet, l’article 39 du DSA impose aux très grandes plateformes de tenir un registre public relatif à la publicité qui apparaît sur leurs sites. Amazon considérait ces informations suffisamment sensibles pour lui causer un préjudice irréparable dans la mesure où elles obligent à révéler l’identité de la personne (physique ou morale) pour le compte de laquelle la publicité est présentée et où elles permettent de dévoiler la stratégie de la plateforme en direction des différents segments de clientèle. Par ailleurs, Amazon soutenait que la section du DSA créant des obligations supplémentaires pour les très grandes plateformes violait le principe d’égalité et ses droits fondamentaux.
La CJUE a considéré que
- la condition d’urgence était remplie et que le référé était donc recevable ;
- qu’il n’appartenait pas au juge des référés de se prononcer sur la question des droits fondamentaux d’Amazon et que la question devait faire l’objet d’un examen au fond ;
- que la mise à disposition du public des informations figurant à l’article 39 du DSA pouvait effectivement conduire à divulguer des informations qu’Amazon considère comme confidentielles, contrairement à ce que soutenait la Commission ;
- et qu’on ne pouvait exclure que l’application de l’article 39 du règlement soit à l’origine d’un préjudice pour Amazon.
Toutefois, après avoir procédé à l’analyse de la balance entre les intérêts d’Amazon et ceux du législateur européen la CJUE a jugé que, d’une part, même si le jugement sur le fond établissait qu’Amazon subissait un préjudice, celui-ci serait mesuré et ne pouvait entraîner la faillite du site de E-commerce[18]. D’autre part, elle a estimait que si elle confirmait la suspension, cela aboutirait à compromettre, pour plusieurs années, les objectifs du DSA[19] dont il n’appartient pas au juge des référés de se prononcer sur la pertinence. Considérant que l’intérêt général européen prévalait sur le risque d’Amazon de subir un préjudice important, voire irréparable, la CJUE a donc annulé la suspension ordonnée par le tribunal. Amazon doit donc se conformer au DSA dans l’attente du jugement de fond qui reste encore à venir.
[1] La CJUE avait tout de même eu l’occasion, le 25 octobre 2011 (affaires jointes C 509/09 et C 161/10), de se pencher sur l’article 3 mais il s’agissait alors de savoir comment combiner les dispositions de cet article avec celles, de droit international privé, du règlement n° 44/2001/CE relatif à la compétence judiciaire et à l’exécution des décisions de justice en matière civile et commerciale.
[2] arrêt du 20 décembre 2017, affaire C-434/15, Profesional Elite Taxi.
[3] arrêt du 10 avril 2018, affaire C320-16, Uber France SAS.
[4] affaire C-434/15, point 39.
[5] affaire C-320/16, points 19 à 22.
[6] 19 décembre 2019, affaire C 390/18, AirBnb Ireland.
[7] directive 2006/123/CE sur les services dans le marché intérieur.
[8] Point 87.
[9] Au passage, elle réaffirme l’effet direct de la directive, le contexte, n’étant pas celui d’un « simple litige entre personnes privées » mais celui du droit pénal.
[10] Voir aussi le considérant 26 de la directive 2000/31 qui précise que les États membres peuvent, aux conditions fixées par la directive, « appliquer leurs règles nationales de droit pénal et de procédure pénale pour engager toutes les mesures d’enquêtes et autres nécessaires pour détecter et poursuivre les infractions en matière pénale, sans qu’il soit besoin de notifier ces mesures à la Commission »
[11] 9 novembre 2023, affaire C-376/22, «Google, Meta, Tiktok ».
[12] affaire C-376/22, conclusions du 20 juin 2023.
[13] affaire C-76/22 voir le point 68 des conclusions et le point 34 de l’arrêt.
[14] point 56
[15] conclusions du 11 janvier 2024, affaires jointes C-662/22 à C-667/22.
[16] règlement (UE) 2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne.
[17] On peut consulter utilement sur le site gouvernemental français « toute l’Europe » la liste des sites considérés comme des très grandes plateformes :
[18] les recettes publicitaires d’Amazon ne représentent en effet que 7% de ses recettes globales.
[19] points 155 à 159 de l’arrêt.