Dans la volonté d’harmoniser les législations des Etats membres de l’Union Européenne et créer un cadre réglementaire robuste pour les plateformes en ligne et des moteurs de recherche, le Parlement européen a adopté le Digital Service Act (« DSA »), le 5 juillet 2022.
Des enjeux cruciaux y sont adressés :
- la protection des droits des utilisateurs
- la transparence et la responsabilité numérique des plateformes en ligne et des moteurs de recherche.
Le DSA impose des obligations de diligence à ces derniers afin de respecter les droits fondamentaux des utilisateurs. Les acteurs concernés doivent donc revoir leurs pratiques opérationnelles afin de répondre aux défis contemporains liés à l’écosystème numérique.
Une réglementation étendue à grand nombre d’acteurs
Initialement et depuis le 25 août 2023, le DSA est applicable aux fournisseurs de « très grandes plateformes en ligne » ainsi qu'aux « très grands moteurs de recherche en ligne ». Parmi eux, peuvent être cités AliExpress, Facebook, Youtube ou encore Booking.
A compter du 17 février 2024, le champ d’application du DSA sera élargi à l’ensemble des plateformes et autres intermédiaires en ligne accessibles au sein de l’Union Européenne.
La volonté d’uniformiser la conformité, la prise de conscience de l’impact significatif des « petites » plateformes sur les utilisateurs, éviter de contourner les règles pour certaines entités sont autant de raison pour justifier l’élargissement de la réglementation à une diversité de plateformes.
Toutes les plateformes, quelles que soient leurs tailles, devront s’interroger sur les obligations leur incombant au titre du DSA et mettre la conformité au cœur de leurs préoccupations afin d’assurer leur légitimité sur le marché numérique, gagner la confiance des utilisateurs et éviter d’éventuelles sanctions.
L’intégration du DSA dans le paysage de la protection des données
Si le Règlement Général sur la Protection des Données (RGPD) est axé sur la protection des données à caractère personnel des personnes physiques en régissant le traitement de ces données par les entreprises et vise à garantir la confidentialité, l’intégrité et la disponibilité des données à caractère personnel, le DSA est axé plus particulièrement sur la responsabilité des plateformes en ligne et établit un cadre pour la gestion du contenu en ligne.
Abordant des aspects différents de la protection des droits des utilisateurs, ces deux réglementations partagent néanmoins des objectifs communs. Ainsi, ces textes ne doivent pas être appréhendés de manière dissociée mais doivent être appréciés de manière complémentaire. A ce titre, le DSA a pris en compte les grands principes et concepts de son ascendant, le RGPD.
- Des mentions directes au RGPD sont faites dans le DSA, qui renvoie ainsi le lecteur directement au RGPD pour la définition de certains termes (notamment « profilage » ou « données sensibles »).
- Le DSA complète par ailleurs le RGPD en abordant des aspects spécifiques liés à la responsabilité des plateformes en ligne dans la gestion du contenu et en consolidant la transparence et la protection des utilisateurs dans un contexte numérique en constante évolution.
Prenons le cas d’une plateforme en ligne traitant des données à caractère personnel pour personnaliser le contenu de son site et notamment proposer des publicités personnalisées à son utilisateur.
Cette dernière devra respecter les principes fondamentaux du RGPD en termes de consentement, de transparence et du respect des droits des utilisateurs sur leurs données. Sans contrevenir à ces principes, le DSA exigera de surcroit de cette plateforme qu’elle mette en place des mécanismes de signalement de modération et de suppression rapide de contenus illicites et des mesures afin de lutter contre la désinformation en ligne.
Minimiser les risques de non-conformité au regard des sanctions
Le non-respect des obligations issues du DSA pourra entrainer diverses conséquences :
- Des sanctions pécuniaires jusqu’à 6% du chiffre d’affaires annuel mondial de l’exercice au cours duquel le manquement est réalisé,
- Une astreinte jusqu’à 5% des revenus ou du chiffre d’affaires mondial journalier moyen pourra également être prononcée,
- Une interdiction d’opérer sur le marché unique européen en cas de manquements répétés.
Ces sanctions pourront se cumuler à celles prévues pour un manquement au RGPD, les deux réglementations pouvant s’appliquer simultanément à une même entité. Une vigilance accrue s’impose donc aux plateformes afin de respecter les réglementations qui leur sont applicables et éviter des conséquences juridiques et financières significatives.
Il appartient aux entreprises de se plonger dans les exigences complexes du DSA afin de minimiser les risques de non-conformité. Un enjeu crucial au regard des sanctions pouvant être prononcées.
Plusieurs chantiers devront être mis en place par les entreprises, de manière non exhaustive :
- évaluer la conformité actuelle,
- mettre en place des politiques internes (politiques de modération de contenu, de signalement, de transparence),
- mettre en place une formation des collaborateurs,
- maîtriser la gestion des risques liés à la non-conformité etc.
Les équipes d’Avangarde Consulting sont à votre écoute pour répondre aux questions que vous pourriez vous poser sur le DSA et vous accompagner dans vos démarches de conformité.
Julia, Consultante en Protection des Données Personnelles