Première partie – les textes
Depuis la fin des années 1990 et l’apparition du commerce électronique et des premiers services en ligne, le législateur européen s’efforce de réguler l’Internet marchand avec plusieurs objectifs : protéger le consommateur mais aussi favoriser le développement de l’économie numérique et du commerce en ligne.
De la définition des services de la société de l’information au Digital Service Act, on assiste à la conciliation du principe du pays d’origine avec la nécessité de réguler l’Internet marchand de manière coordonnée, ce qui n’a rien d’évident à réaliser.
1998 : la directive 2015-1535[1] relative à une procédure d’information (anciennement : directive 98/34/CEE)
La définition d’un service de la société de l’information date des débuts de l’Internet grand public. Maintenant reprise à l’article 1er de la directive 2015/1535/CE dite « directive transparence », elle figurait déjà dans la directive 98/34/CE relative à une procédure d’information. Ce texte, destiné à l’origine à limiter la capacité des États membres à créer des entraves au marché intérieur en imposant leurs normes et règles techniques sur les biens a vu son champ d’application élargi aux services prestés par Internet. Il impose aux États membres de respecter une procédure d’information préalable lorsqu’ils rendent obligatoire une norme, une règle technique sur un bien ou une règle relative aux services de la société de l’information.
Selon ce texte, un service de la société de l’information est tout service
- presté normalement contre rémunération ;
- à distance, par voie électronique ;
- et à la demande individuelle d’un destinataire de services.
Le terme de « rémunération » ne doit pas induire en erreur : un service peut être fourni gratuitement à l’utilisateur final si son producteur est rémunéré par un tiers. Ainsi, les services financés par la publicité numérique sont bien des services de la société de l’information.
Le troisième critère permet notamment de distinguer entre les services de la société de l’information et les services de médias audiovisuels : au contraire des services de médias, les données ne sont transmises qu’à un destinataire individuel à sa demande.
Par ailleurs, les services qui sont fournis en présence physique du prestataire et du destinataire ne sont pas des services de la société de l’information même lorsqu’ils impliquent l’utilisation de dispositifs électroniques (cas d’une réservation de séjour effectuée dans les locaux d’une agence de voyages ou d’une consultation juridique donnée en présence du client).
La directive fait donc obligation à chaque État membre de notifier à la Commission européenne ainsi qu’aux autres États et au public les nouveaux projets de normes et de règles techniques relatives aux produits mais aussi les règles relatives aux services de la société de l’information. Chaque notification doit être effectuée au moins 3 mois avant l’entrée en vigueur de la nouvelle règle et peut donner lieu à avis circonstancié de la Commission européenne. L’émission d’un avis circonstancié prolonge de 3 mois le délai d’adoption de la mesure et l’État membre est tenu d’y répondre, sauf à abandonner son projet.
Bien que cela soit méconnu, les notifications sont publiques et consultables sur la base de la commission européenne « TRIS »[2]. Les avis circonstanciés émis par la Commission suite aux notifications sont également consultables sur TRIS.
Point très important, la notification préalable est considérée comme une obligation substantielle par la CJUE (et donc par les juges des États membres). Par conséquent, le défaut de notification préalable entraîne l’inapplicabilité de la règle de droit même si elle a été adoptée conformément aux autres règles de l’État membre[3].
2000 : la directive 2000/31/CE sur le commerce électronique et les services de la société de l’information[4]
La directive 2000/31/CE a été publiée alors qu’Internet en était à ses débuts et que le commerce électronique était en plein essor, mais elle ne pouvait réguler, lorsqu’elle a été adoptée, que ce qui existait déjà. Il est important de garder à l’esprit qu’à l’époque, les réseaux sociaux ou les plateformes de partage de vidéos n’existaient pas encore.
La directive contient ainsi des règles de base applicables au commerce électronique et aux contrats en ligne, notamment des obligations générales d’information à la charge des commerçants en ligne.
Mais, au-delà de ces règles de base, son objet principal est de consacrer la liberté de circulation des services de la société de l’information.
Le législateur européen a voulu éviter que les services fournis sur Internet soient simultanément régulés par plusieurs États membres, ce qui les auraient soumis à une cascade de réglementations redondantes, inutilement complexes et parfois contradictoires, entravant ainsi leur développement. Le considérant n°5 énonce ainsi que : « Le développement des services de la société de l’information dans la Communauté est limité par un certain nombre d’obstacles juridiques au bon fonctionnement du marché intérieur qui sont de nature à rendre moins attrayant l’exercice de la liberté d’établissement et de la libre prestation des services. Ces obstacles résident dans la divergence des législations ainsi que dans l’insécurité juridique des régimes nationaux applicables à ces services ».
La solution retenue par la directive consiste à confier la régulation de chaque service de la société de l’information à l’État membre dans lequel est établi le prestataire de ce service. Elle[5] crée ainsi un « domaine coordonné » qui comprend l’ensemble des exigences applicables à un prestataire de services en ligne en matière d’accès à l’activité ou d’exercice de celle-ci.
En premier lieu, la directive établit un « principe de liberté de circulation des services de la société de l’information » équivalent au « principe du pays d’origine » pour les services prestés en présence physique des intéressés. L’article 3, paragraphe 2, énonce ainsi que les États membres « ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l’information en provenance d’un autre État membre ».
En second lieu (article 4), elle interdit aux États membres d’imposer une autorisation préalable aux prestataires de services de la société de l’information. Ce principe ne s’applique cependant qu’au service de la société de l’information et non à l’activité sous-jacente à ce service : par exemple, un médecin a toujours besoin d’une autorisation d’exercice, laquelle couvre ses obligations déontologiques en ligne.
En troisième lieu, l’article 3 de la directive permet aux États membres de déroger au principe de liberté de circulation (donc de prendre des mesures à l’encontre des services en ligne) à une triple condition.
- justification de la mesure dérogatoire au moyen d’une des raisons impérieuses d’intérêt général limitativement suivantes : ordre public (y compris protection des mineurs), sécurité publique, protection de la santé publique, protection des consommateurs ;
- présence d’une atteinte avérée ou, au moins, d’un risque sérieux et grave d’atteinte à ces objectifs d’intérêt général;
- notification préalable des mesures envisagées à l’État membre de l’établissement (État à partir duquel le service est presté) et à la Commission européenne.
Les mesures envisagées ne peuvent donc, en principe, être mises à exécution qu’en cas de refus d’agir de l’État membre de l’établissement ou d’action insuffisante de sa part. Néanmoins, en cas d’urgence, elles peuvent être mises en application sans délai à condition, pour leur auteur, d’indiquer à la Commission et à l’État membre de l’établissement les raisons pour lesquelles cette décision est prise.
La Commission doit alors (que l’urgence ait ou non été invoqué) procéder « dans les délais les plus brefs » à une analyse de la compatibilité des mesures restrictives avec le droit communautaire et, le cas échéant, « demander à l’État membre de s’abstenir d’exécuter les mesures envisagées ou d’y mettre fin si elles sont déjà appliquées ». La portée exacte de ce pouvoir de la Commission est incertaine. Il ne semble pas exister d’exemples où une telle demande aurait été formulée par la Commission ni de jurisprudence sur ce point. Toutefois, la CJUE a déjà eu l’occasion de dire que la notification servait, entre autres, à permettre à la Commission de formuler une telle demande et qu’il était donc essentiel que l’obligation de notifier soit respectée[6].
Enfin, la directive (articles 14 et 15) crée une présomption de non responsabilité des fournisseurs d’accès, des services de cache et des hébergeurs quant aux contenus illicites qu’ils pourraient héberger ou diffuser. Les hébergeurs sont toutefois tenus de retirer ces contenus lorsqu’ils en ont directement connaissance, mais ils ne sont tenus à aucune obligation générale de surveillance.
Les directives 2015/1535 et 2000/31 créent donc deux obligations de notifications distinctes concernant les services de la société de l’information. La première concerne des textes législatifs ou réglementaires ou des normes dont l’application est rendue obligatoire alors que la seconde (celle de la directive 2000/31) semble plutôt concerner des « mesures prises à l’encontre de prestataires de services » qui s’apparentent à des décisions individuelles. On reviendra sur ce point dans la partie consacrée à la jurisprudence.
2022 : le règlement UE 2022/2065 sur les services numériques[7]
À la fin des années 2010, plusieurs questions préjudicielles portées devant la CJUE ont montré la nécessité qu’il pouvait y avoir pour les États membres de mieux réguler l’Internet marchand et de responsabiliser les grands acteurs numériques, mais aussi la complexité de la procédure mise en place par l’article 3 de la directive 2000/31/CE (voir la deuxième partie de cet article). Le règlement sur les services numériques, souvent appelé « digital service act » (ci-après : DSA) répond à ces difficultés en précisant les obligations des producteurs et des hébergeurs de contenus et en rendant plus efficace la coordination entre les États membres entre eux et avec la Commission. Sans toutefois remettre en cause le « principe du pays d’origine » ni la présomption de non responsabilité des hébergeurs quant aux contenus qu’ils rendent accessibles, à moins qu’ils n’aient connaissance de leur caractère illicite.
En outre, il soumet les très grandes plateformes et les moteurs de recherche à des obligations supplémentaires visant à atténuer les risques systémiques associés qu’elles sont susceptibles de présenter (diffusion de nombreux contenus illicites, haine en ligne, « fake news »).
Il n’abroge pas la directive 2000/31/CE mais précise le régime de responsabilité de certains acteurs, en particulier des plateformes. Sur ce point, ses dispositions remplacent celle de la directive.
Quels sont les services les plus directement par le nouveau règlement ?
L’article 3 fournit, comme c’est souvent le cas dans les textes européens, un certain nombre de définitions concernant les termes employés. S’agissant des prestataires de services de la société de l’information, il reprend les catégories déjà présentes (mais non définies) dans la directive de 2000/31/CE mais il affine quelque peu la nomenclature. Il distingue donc, comme en 2000 entre les « services de simple transport » (fournisseurs d’accès), les « services de mise en cache » qui permettent d’accéder plus rapidement aux contenus et sont en général transparents pour les utilisateurs et les « services d’hébergement » qui ont pour caractéristique commune de « stocker des informations » à la demande d’un destinataire du service (qui peut donc être un fournisseur comme un utilisateur d’information).
Deux nouvelles définitions sont ajoutées : les « moteurs de recherche en ligne » qui constituent une catégorie autonome de services intermédiaires et les « plateformes en ligne », sous-catégorie des services d’hébergement dont le service consiste à stocker et à diffuser au public des informations et contenus pouvant être fournis par les utilisateurs de la plateforme.
En revanche, contrairement aux textes de droit interne, la notion d’éditeur de site n’apparaît pas dans le règlement européen.
Quels droits et obligations pour les prestataires de services en ligne ?
En premier lieu, comme en dispose l’article 6, les hébergeurs restent présumés non responsables des contenus qu’ils hébergent. Cependant, lorsqu’ils constatent qu’un contenu est illicite ou qu’ils reçoivent un signalement, ils sont tenus de le retirer. En outre, le paragraphe 4 de cet article précise en que n’est pas affectée la possibilité, « pour une autorité judiciaire ou administrative, conformément au système juridique d’un État membre, d’exiger du fournisseur de services qu’il mette fin à une infraction ou qu’il prévienne une infraction ». Les États membres ont donc une certaine latitude d’action.
Cependant, l’article 8 précise que « les fournisseurs de services intermédiaires « ne sont soumis à aucune obligation générale de surveiller les informations qu’ils transmettent ou stockent ou de rechercher activement des faits ou des circonstances révélant des activités illégales ».
L’article 9 permet aux États membres d’envoyer aux plateformes des injonctions d’agir contre des contenus illicites, y compris aux prestataires qui sont établis dans un autre État membre. Ces injonctions sont partagées au sein du réseau des coordinateurs créé par le règlement.
L’article 16 impose aux fournisseurs de services d’hébergements (dont les plateformes) de mettre en place des mécanismes de notification de la présence de contenus illicites à destination, notamment, des particuliers. Ces mécanismes doivent être faciles d’accès et d’utilisation et permettre la soumission de notifications exclusivement par voie électronique.
L’article 22 permet, de plus, aux États membres d’habiliter des « signaleurs de confiance » qui pourront signaler aux plateformes les contenus illicites qu’elles hébergent. Les plateformes sont tenues d’examiner les signalements et de justifier auprès des signaleurs le traitement qu’ils réservent à chaque signalement. Les signaleurs de confiance pourront être des organismes publics ou des associations d’intérêt général. Ils devront être indépendants des plateformes.
Un article concerne spécifiquement la protection des mineurs en ligne
L’article 28, intitulé « protection des mineurs en ligne » impose aux plateformes en ligne accessibles aux mineurs de mettre en place « des mesures appropriées et proportionnées pour garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service ». Cependant, le paragraphe 3 de cet article précise que « le respect des obligations énoncées dans le présent article n’impose pas aux fournisseurs de plateformes en ligne de traiter des données à caractère personnel supplémentaires afin de déterminer si le destinataire du service est un mineur ».
L’article n’impose donc pas à l’ensemble des prestataires de mettre en place un mécanisme de vérification d’âge ; toutefois, l’obligation de mettre en place des mesures « appropriées et proportionnées (…) pour garantir un niveau élevé de sécurité » semble indiquer que les sites qui mettent en ligne des contenus pour adultes ne peuvent pas se satisfaire d’une simple déclaration de majorité de la part de l’utilisateur.
Des obligations supplémentaires pour les très grandes plateformes
La section 5 du chapitre 3 du règlement (articles 33 à 43) définit des obligations supplémentaires imposées uniquement aux très grandes plateformes. C’est à la Commission qu’il incombe de désigner celles-ci, après avoir constaté que le nombre de leurs utilisateurs est supérieur à 45 millions dans l’ensemble de l’UE et avoir consulté les États membres d’établissement desdites plateformes et leur autorité coordinatrice pour les services numériques.
Les très grandes plateformes doivent ainsi mettre en place :
- une évaluation des risques systémiques (article 34), au nombre desquels la diffusion de contenus illicites, tout effet négatif au regard du principe de dignité humaine ainsi que, plus généralement, tout effet lié aux violences sexistes et à la protection de la santé publique et des mineurs ;
- des mesures propres à atténuer ces risques (article 35), y compris des « mesures ciblées visant à protéger les droits de l’enfant, y compris la vérification de l’âge et des outils de contrôle parental (…) ».
- L’article 39 leur impose de rendre publiques un certain nombre d’informations relatives aux annonceurs dont les publicités apparaissent sur leur site (identité des personnes pour le compte desquelles les publicités sont présentées et identité des personnes finançant des publicités, groupes de clientèle ciblés, durée des campagnes, nombre de destinataires atteints).
Elles sont également soumises à des mesures de diligences : obligation de faire réaliser un audit annuel relatif au respect de leurs obligations par un organisme indépendant et de désigner, au sein de leur personnel un responsable de la conformité du fonctionnement de la plateforme aux obligations du règlement.
Enfin, elles doivent mettre à la disposition du coordinateur numérique de leur État membre, ainsi qu’à certains chercheurs les données nécessaires aux missions respectives de ces acteurs publics.
L’application des dispositions du règlement est confiée aux États membres qui devront coopérer entre eux (réseau de coordinateurs numériques) ainsi qu’à la Commission qui dispose de compétences exclusives vis-à-vis des très grandes plateformes.
L’article 49 demande à chaque État membre de désigner une ou plusieurs autorités compétentes dénommées « coordinateur numérique ». Ces coordinateurs sont chargés de l’application du règlement dans chaque État membre et dans leur sphère de compétence. Ils devront coopérer entre eux pour assurer une mise en œuvre efficace des dispositions.
Ils recevront les plaintes et sont dotés d’un pouvoir de sanction (article 51) à l’encontre des opérateurs qui ne respecteraient pas le règlement. Ils pourront ainsi infliger des sanctions financières et des astreintes, saisir l’autorité judiciaire afin que celle-ci restreigne l’accès au site défaillant (comme cela était prévu dans la loi du 30 juillet 2020).
L’article 56 établit enfin un partage des compétences entre la Commission et les États membres sur les pouvoirs d’enquête et de sanction. Les États membres restent compétents pour surveiller et faire exécuter le règlement par les prestataires numériques établis sur leur territoire, à l’exception des dispositions relatives aux très grandes plateformes pour lesquelles la Commission est dotée de pouvoirs exclusifs pour surveiller et faire respecter le DSA.
[1] Directive 2015-1535 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information.
[2] https://technical-regulation-information-system.ec.europa.eu/fr/search. Les notifications sont téléchargeables en anglais et dans la langue de l’État membre.
[3] 30 avril 1996, C-194/14, « CIA security International »
[4] Directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»).
[5] article 2 sous h)
[6] Arrêt du 19 décembre 2019, affaire C‑390/18, « AirBnb Ireland », point 92.
[7] Règlement (UE) 2022/2065 du parlement européen et du conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques)