RINFANR5L16B1666

— 1 —

Mesdames, Messieurs,

La régulation des acteurs structurants et dominants de l’économie numérique est une priorité de l’Union européenne, faisant de l’Europe un continent pionnier en la matière.

La présidence française du Conseil de l’Union (PFUE) a été l’occasion de faire aboutir deux textes majeurs afin de responsabiliser les fournisseurs de services en ligne conformément aux valeurs et aux intérêts européens. D’une part, le règlement sur les marchés numériques du 14 septembre 2022, dit Digital Markets Act (DMA), renforce la contestabilité des positions dominantes acquises par les géants du numérique. Ces mesures doivent favoriser la concurrence et l’innovation sur les marchés concernés, au bénéfice des entreprises émergentes et des consommateurs. D’autre part, le règlement sur les services numériques du 19 octobre 2022, dit Digital Services Act (DSA), contribue à mettre en pratique le principe selon lequel ce qui est illégal hors ligne devrait également être illégal en ligne. La diffusion massive de contenus et d’activités illicites devra être combattue plus efficacement par les fournisseurs de services numériques, en particulier les grandes plateformes et les grands moteurs de recherche. Ces législations innovantes sont fondées sur des obligations graduées répondant à une logique asymétrique, qui cible de manière prioritaire les entreprises de grande taille.

Si votre rapporteure ne partage pas les discours excessivement optimistes annonçant la fin du « Far West numérique », elle salue le rôle moteur de la France dans l’adoption de ce nouveau cadre de régulation et la volonté de la Commission européenne de le mettre en œuvre avec fermeté.

Le projet de loi visant à sécuriser et réguler l’espace numérique, présenté par le Gouvernement le 10 mai 2023, s’inscrit dans cette dynamique européenne. Il adapte notamment le droit français à plusieurs textes européens, dont le DMA, le DSA et le règlement sur la gouvernance des données du 30 mai 2022, dit Data Governance Act (DGA). Il anticipe également l’adoption du règlement sur les données (Data Act) par l’intermédiaire de mesures de « pré-transposition » dont le caractère prématuré est, après examen, critiquable.

Votre rapporteure a fait le choix de concentrer son analyse sur le paquet législatif européen relatif aux services numériques (DSA, DMA) plutôt que sur la stratégie européenne pour les données (DGA, Data Act). Cette approche est guidée par l’importance de la coopération entre la Commission et les États membres pour assurer la bonne mise en œuvre du DSA et du DMA, ainsi que par l’actualité forte des deux textes. Les très grandes plateformes en ligne et les très grands moteurs de recherche désignés par la Commission doivent ainsi respecter les dispositions du DSA depuis le 25 août 2023, tandis que la Commission a procédé le 6 septembre 2023 à la désignation d’une première liste de contrôleurs d’accès visés par le DMA.

Le DSA et le DMA, s’ils constituent une avancée majeure pour la régulation des géants du numérique, présentent deux limites importantes.

Sur la forme, d’une part, votre rapporteure regrette que la négociation et l’adoption de textes aussi structurants pour l’avenir de nos concitoyens se déroulent à l’écart des parlements nationaux. Le rôle limité ces derniers tient à la nature même de la procédure législative européenne et vaut pour l’ensemble des textes. Les enjeux décisifs du DSA et du DMA, par exemple en matière de liberté d’expression ou de protection des consommateurs, auraient toutefois justifié une meilleure information et association des parlementaires issus des États membres.

Sur le fond, d’autre part, votre rapporteure souligne la nécessité d’envisager dès aujourd’hui les améliorations susceptibles d’être apportées au DSA et au DMA. La priorité donnée, à court terme, par les acteurs concernés à l’application effective des règlements européens est compréhensible, mais ne doit pas exclure une réflexion de plus long terme sur les modifications et améliorations envisageables. Les auditions menées par votre rapporteure ont permis d’identifier la réforme du régime de responsabilité limitée des plateformes en ligne et la meilleure association de la société civile aux procédures de contrôle des acteurs dominantes parmi les pistes à explorer.

Enfin, votre rapporteure alerte sur les risques de non-conformité du présent projet de loi avec le droit de l’Union. Il est dommageable que la période de statu quo, au terme duquel la Commission formulera ses observations sur les dispositions notifiées, expire après la date prévisible d’adoption du texte par le Parlement en première lecture. Des motifs d’incompatibilité majeurs ont pu être relevés par votre rapporteure, notamment au regard des exigences du DSA en matière d’indépendance des autorités nationales chargées de sa mise en œuvre. De manière générale, ces difficultés impliquent que la France porte efficacement ses priorités et ses politiques les plus robustes en niveau européen. La protection des mineurs en ligne, le combat contre la désinformation et la lutte contre les appels à la violence en ligne sont autant de champs d’action qui bénéficieraient ainsi d’une approche convergente, voire harmonisée, en Europe.

PREMIÈRE PARTIE : la contribution du DSA et DU DMA À la crÉation d’un marchÉ unique numÉrique sÛr et ouvert, UNE avancÉe À confirmer

I. Le dsa, une lÉgislation importante mais incomplÈte pour crÉer un environnement en ligne sÛr et responsable

A. La nÉcessaire protection des internautes face À la multiplication des contenus illicites et les insuffisances de la RÉglementation en vigueur

1. Un texte nécessaire face aux risques croissants liés à l’utilisation des services numériques

L’évolution et le développement des services numériques depuis le début des années 2000 sont porteurs du meilleur comme du pire. Le droit de l’Union qualifie ainsi de « service de la société de l’information » tout service presté « contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services » ([1]). Cette définition recouvre une grande variété de services, tels que les réseaux sociaux, les places de marché et les services d’informatique en nuage (cloud computing).

L’essor des plateformes en ligne, dont les réseaux sociaux, a facilité de nouveaux modes d’échange ainsi que le stockage et la diffusion d’informations de manière horizontale, sans aucune forme d’intermédiation. Les plateformes en ligne, qui proposent de plus en plus un service de réseau social et un service de messagerie privée à leurs utilisateurs, enregistrent des audiences significatives. À titre d’exemple, Facebook, créé en 2004 et opéré par l’entreprise Meta, a dépassé le cap des 3 milliards d’utilisateurs actifs mensuels en juillet 2023 ([2]). Il s’agit du réseau social le plus utilisé au monde. Le réseau X (ex-Twitter), créé en 2006, revendique quant à lui près de 238 millions d’utilisateurs actifs quotidiens dits « monétisables » en juillet 2022, soit une augmentation de plus de 15 % par rapport à juillet 2021 (206 millions d’utilisateurs).

Dans son étude annuelle consacrée aux réseaux sociaux, le Conseil d’État rappelle ainsi que ces médias ont pu être assimilés de manière optimiste aux vecteurs d’une « conscience planétaire universelle » ([3]). Cette dernière serait fondée sur le partage de la connaissance et l’actualisation des droits fondamentaux reconnus aux citoyens, tels que la liberté d’expression. La contribution des réseaux sociaux à l’émergence de mobilisations contestataires ou citoyennes, telles que les Printemps arabes en 2010 et le mouvement #metoo en 2017, en témoigne.

Dans le même temps, la diffusion et l’utilisation massives des services numériques sont porteuses de défis nouveaux. Le poids économique des fournisseurs de services numériques d’origine extra-européenne, qui repose notamment sur la collecte et l’exploitation des données personnelles des utilisateurs, fragilise l’autonomie stratégique de l’Union. Ce traitement intervient d’ailleurs sans que leurs droits et leur information sur l’utilisation de leurs données personnelles ne soient toujours garantis.

Le DSA vise plus spécifiquement à lutter contre la diffusion de contenus illicites en ligne, à l’origine de risques systémiques pour les citoyens et la vie démocratique. La liberté de communication offerte par les fournisseurs de services numériques, en particulier les réseaux sociaux, donne lieu à des abus graves de la part de certains internautes. Ces dérives sont insuffisamment prévenues a priori et sanctionnées a posteriori. Or les systèmes algorithmes destinés à ordonnancer les informations présentées à l’utilisateur renforcent la viralité des contenus les plus préjudiciables. Trois dynamiques auto-entretenues sont à l’œuvre en l’espèce :

- l’absence de présélection des contenus diffusés sur les plateformes, à rebours de la responsabilité éditoriale qui incombe aux médias traditionnels ;

- l’insuffisance des mécanismes de modération des plateformes numériques, qui ne parviennent pas – ou rechignent – à faire respecter leurs conditions générales d’utilisation (CGU) ;

- la viralité des contenus diffusés sur les plateformes via des règles algorithmiques conçues pour sélectionner et présenter prioritairement les contenus les plus choquants, qui attirent l’attention des utilisateurs et maximisent leur engagement.

L’ordonnancement algorithmique des contenus présentés à l’internaute conduit, en l’absence de sélection préalable, à « une forme d’éditorialisation de fait et non de droit » selon les termes du rapport de la mission de régulation des réseaux sociaux ([4]). Les plateformes numériques ne peuvent plus être considérées comme jouant un rôle passif dans le caractère viral des contenus ou dans la hiérarchisation de biens et services proposés aux consommateurs par des tiers.

Votre rapporteure souligne que les flux d’informations sont largement façonnés à l’insu des utilisateurs. Nos concitoyens ne sont pas en mesure d’exprimer leur consentement de manière éclairée quant aux modalités de hiérarchisation et de présentation des contenus diffusés. Les révélations de la lanceuse d’alerte américaine Frances Haugen, publiées en septembre 2021 par le Wall Street Journal dans le cadre des Facebook Files, confirment ces pratiques dommageables. Le réseau Instagram, dont les effets nocifs sur la santé mentale des jeunes internautes étaient documentés en interne (anxiété, dépression, etc.), n’a par exemple pas corrigé les dysfonctionnements constatés ([5]).

La diffusion massive de contenus illicites prend plusieurs formes. Ces contenus illicites peuvent se rapporter à des activités illégales, tels que la vente de produits contrefaits, ou à des informations illégales. Cette dernière catégorie recouvre par exemple les discours de haine, la diffusion d’informations fausses ou trompeuses et le partage de matériel pédopornographique.

L’ampleur de la diffusion d’informations illégales en ligne est largement documentée. S’agissant de la haine en ligne, la Commission nationale consultative des droits de l'homme (CNCDH) a alerté dès 2015 sur un « phénomène très inquiétant » qui se nourrit « des tensions sociales et de la crise de la citoyenneté » ([6]). L’Assemblée nationale a également récemment adopté une résolution européenne sur la proposition de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur les enfants, dite ASM ([7]). Ce texte rappelle avec force l’ampleur et la gravité du phénomène. Près de 32 millions de signalements de contenus pédopornographiques ont été effectués en 2022 auprès du Centre national américain pour les enfants et exploités (NCMEC), deux tiers des contenus signalés étant hébergés sur des serveurs basés dans l’Union.

2. Les insuffisances du droit existant pour combattre les effets préjudiciables de l’évolution des services en ligne

Le DSA actualise et complète le cadre législatif issu de la directive sur le commerce électronique du 8 juin 2000, dite directive e-commerce ([8]). Ce texte a été transposé dans le droit français par la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). La directive e-commerce a contribué à l’essor du marché intérieur des services numériques en prévenant l’émergence d’obstacles à la liberté d’établissement et à la libre prestation de services.

Parmi les principes clés de la directive e-commerce, les prestataires intermédiaires de services numériques bénéficient d’un régime de responsabilité limitée. Un intermédiaire en ligne qui héberge ou transmet des contenus fournis par un tiers ne peut être tenu pour responsable pour ces informations sur les plans civil, pénal et administratif. Ce régime protecteur d’exemption de responsabilité est valable sous certaines conditions. L’intermédiaire en ligne ne doit être impliqué en aucune manière dans l’information transmise. Dans le cas des services d’hébergement, qui jouent un rôle plus actif, l’intermédiaire doit agir avec diligence pour retirer ou rendre inaccessible les contenus illicites dès le moment où il en prend effectivement connaissance. La directive e-commerce interdit corollairement aux États membres d’imposer aux opérateurs intermédiaires une obligation générale de surveillance des contenus stockés ou transmis.

Les prestataires intermédiaires protégés par le principe de responsabilité limitée

La directive e-commerce de 2000 a introduit un régime protecteur, sous conditions, pour trois types d’intermédiaires en ligne. Les définitions fixées par la directive e-commerce sont reprises in extenso dans le DSA.

Un service de « simple transport », notamment assuré par les fournisseurs d’accès à Internet (FAI), consiste à transmettre de manière passive des informations fournies par un bénéficiaire du service ou à fournir l’accès à un réseau de communication.

Un service de « mise en cache » (caching) consiste à transmettre, sur un réseau de communication, des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information dans le seul but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires. Les serveurs proxy relèvent par exemple de cette catégorie.

Un service « d’hébergement » consiste à stocker des informations fournies par un bénéficiaire du service à la demande de ce dernier.

Par ailleurs, le principe dit « du pays d’origine » impose aux États membres de veiller à ce que les fournisseurs de services numériques soient soumis uniquement à la législation de leur pays d’établissement. Cette forme de reconnaissance mutuelle confère une présomption de conformité à l’égard de l’ensemble des droits nationaux à l’intermédiaire en ligne qui respecte la loi du pays dans lequel il a installé son siège social.

Or l’évolution rapide des pratiques et des usages numériques a rendu difficilement applicable la directive e-commerce, adoptée au début du XXIe siècle. La plupart des grandes plateformes aujourd’hui visées par le DSA n’existait pas encore, telles que Facebook créé en 2004 et YouTube lancé en 2005. Dans un premier temps, la jurisprudence de la Cour de justice de l’Union européenne (CJUE) a permis d’étendre les dispositions de la directive e-commerce à ces nouveaux modèles d’affaires, par exemple en exonérant de responsabilité un réseau social en ligne ([9]) ou un exploitant de place de marché ([10]).

La directive e-commerce a été appliquée de manière variable par les États membres. La jurisprudence constructive de la Cour de justice n’a pas fourni d’orientations suffisantes, créant un risque d’interprétation divergente des juridictions nationales et de fragmentation du marché unique numérique. Cette incertitude vaut particulièrement pour les obligations de notification et d’action (article 13 de la directive e-commerce, abrogé par le DSA), inspirées de la procédure dite « notice and take down » en vigueur aux États-Unis ([11]). Les prestataires de services de « caching » et d’hébergement sont certes tenus d’agir promptement pour supprimer ou bloquer des contenus illicites lorsqu’ils prennent « effectivement connaissance » de ceux-ci. Or le texte ne définit pas la notion de « connaissance effective » et ne précise pas les règles encadrant les mécanismes de notification et de retrait mis en œuvre par les intermédiaires. L’étude d’impact de la Commission européenne sur le DSA indique à cet égard que neuf États membres seulement, dont la France, ont instauré un dispositif en ce sens. Les législations nationales ne prévoient cependant pas nécessairement les informations minimales requises pour apprécier le bien-fondé de la réclamation ([12]).

L’Union européenne et les États membres ne sont toutefois pas restés inactifs face à la prolifération de contenus illicites, après avoir privilégié l’autorégulation des plateformes par l’intermédiaire d’engagements volontaires.

Au niveau européen, un ensemble de législations sectorielles complète la directive e-commerce de 2000. À titre d’exemple, le règlement du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne, dit TCO (Terrorist content online) ([13]), renforce le dispositif européen en la matière sans remettre en cause le principe de responsabilité limitée des hébergeurs. Il habilite les autorités nationales compétentes à émettre des injonctions de retrait de contenus à caractère terroriste à l’encontre des fournisseurs de services d’hébergement. Il s’agit de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) en France. Les injonctions dites « simples », adressées par l’OCLCTIC à un hébergeur dont l’établissement principal est situé en France, imposent le retrait dans un délai maximal d’une heure. Les législations sectorielles traitent seulement un sous-ensemble réduit de contenus et de produits illicites, bien qu’à fort enjeu. Ces instruments ne sauraient ainsi se substituer à une réglementation transversale précisant les règles procédurales de traitement des contenus illicites.

Les États membres ont également introduit des obligations complémentaires concernant le retrait de certains contenus pour les intermédiaires de services numériques, qu’ils soient établis sur le territoire national ou dans un autre État membre. Par dérogation au principe du pays d’origine, la France a par exemple invoqué l’objectif de protection des droits fondamentaux, et, en particulier, de la dignité humaine pour justifier les restrictions apportées à la libre prestation de services numériques par la proposition de loi visant à lutter contre les contenus haineux sur internet, dite Avia. Si la Commission européenne a admis la validité du motif de dérogation invoqué, elle a rapidement mis en garde la France, en réponse à sa notification, contre le manque de proportionnalité du dispositif envisagé avec l’objectif poursuivi ([14]). En l’espèce, la proposition de loi imposait aux plateformes en ligne de retirer dans les 24 heures les contenus à caractère haineux ou sexuel manifestement illicites, sous peine de sanction pénale. Le Conseil constitutionnel a finalement censuré cette disposition dans sa décision du 18 juin 2020 en ce qu’elle portait une atteinte disproportionnée à la liberté d’expression et de communication ([15]).

La modération des contenus haineux en ligne, un effort lacunaire et opaque

Les plateformes numériques, dont les réseaux sociaux en premier lieu, sont soumises à une série d’obligations nouvelles en matière de lutte contre la diffusion de contenus illicites. Le combat contre les discours de haine, tels que l’incitation à la commission de violences racistes ou xénophobes, peine à y trouver toute sa place.

Cet encadrement a initialement fait l’objet d’engagements volontaires de la part des grandes plateformes en ligne, notamment dans le cadre de la Charte pour un Internet ouvert, libre et sûr portée par la France à l’occasion du sommet du G7 à Biarritz en août 2019. La Commission avait initié une approche similaire dès mai 2016, en convenant d’un code de conduite pour la lutte contre les discours haineux illégaux en ligne. Celui-ci réunit aujourd’hui Facebook, Microsoft, Twitter et YouTube (depuis 2016), Instagram, Google+, Dailymotion, Snapchat (depuis 2018), Jeuxvideo.com (depuis 2019), TikTok (depuis 2020), LinkedIn (depuis 2021), ainsi que Rakuten, Viber et Twitch (depuis 2022).

La France et ses partenaires européens ont progressivement adopté des règles contraignantes face à l’urgence de la situation, en anticipation de l’adoption du DSA. En France, l’article 42 de la loi confortant le respect des principes de la République du 24 août 2021 a ainsi renforcé les obligations de moyens – à la fois procéduraux, humains et technologiques – pesant sur les plateformes. L’Allemagne et l’Autriche se sont également dotées de cadres ambitieux pour faciliter le signalement et la sanction des contenus illégaux, respectivement à travers la loi allemande du 1er septembre 2017 dite Netzwerkdurchsetzungsgesetz (NetzDG) et la loi autrichienne du 23 décembre 2020 dite Kommunikationsplattformen-Gesetz (KoPl-G).

Votre rapporteure déplore que les plateformes en ligne peinent à se conformer à leurs engagements ou à leurs obligations légales. La Commission européenne constate un « ralentissement des progrès » dans sa dernière évaluation de la mise en œuvre du code de conduite ([16]). La part des signalements de contenus haineux examinés par les entreprises dans les 24 heures à compter de la notification se dégrade fortement, en reculant de 90,4 % en 2020 à 64,4 % en 2022. L’Arcom dresse également un bilan mitigé des dispositifs déployés par les plateformes situées sur le territoire national pour lutter contre la haine en ligne ([17]). L’autorité administrative indépendante se félicite ainsi de leur coopération avec les forces de l’ordre et l’autorité judiciaire.

Certaines pratiques demeurent toutefois contestables, de nombreux opérateurs refusant par exemple toujours de dévoiler le nombre de modérateurs chargés d’instruire les signalements des internautes. Ce n’est pas le cas d’X, qui déclare utiliser une « combinaison d'apprentissage automatique et d'évaluation humaine ». Les équipes de modération de l’entreprise, basées en Irlande et au Portugal, sont composées de 149 personnes, dont des francophones ([18]). Un effort de transparence similaire est par conséquent nécessaire de la part des entreprises concernées.

La multiplication de réglementations transversales et sectorielles, au niveau de l’Union et des États membres, n’a pas permis de lutter efficacement contre les contenus illicites en ligne, tout en créant une forme d’insécurité juridique pour les fournisseurs concernés. Le recours à l’instrument du règlement, d’effet direct, doit assurer dans le cas du DSA un niveau de protection cohérent et harmonisé dans l’Union. Contrairement à une directive, le règlement ne doit pas être transposé dans le droit des États membres pour être applicable. Il peut toutefois nécessiter des mesures d’adaptation et de coordination du droit national, à la manière du projet de loi visant à sécuriser et réguler l'espace numérique.

Par ailleurs, si les abus de la liberté d’expression et de communication doivent être sanctionnés, le renforcement de la régulation des services numériques est également susceptible de porter atteinte à des droits fondamentaux. Force est de constater que l’équilibre trouvé par l’état du droit antérieur au DSA était insatisfaisant.

B. Une rÉgulation ambitieuse des fournisseurs de services d’intermÉdiation en ligne, QUI PRÉSERVE LES ÉQUILIBRES DE LA DIRECTIVE E-COMMERCE

1. Une approche élargie des contenus contraires à un environnement numérique sécurisé

Les prescriptions du DSA ont pour objectif principal de lutter contre tout contenu illicite (illegal content), quel qu’en soit le format. La vente de produits non conformes ou contrefaits relève de cette catégorie. Le règlement se contente, à l’article 3, de définir ainsi « toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit ».

Ce renvoi partiel au droit national est important puisque le droit pénal, soit la détermination et la répression des infractions, est une compétence partagée aux termes de l’article 4 du traité sur le fonctionnement de l’Union européenne (TFUE). Lorsqu'un contenu n'est illégal que dans un État membre donné, il ne doit, en règle générale, être retiré que sur le territoire où il est illégal. La mise en place de règles communes pour la définition d’infractions pénales ne concerne aujourd’hui qu’une liste exhaustive de domaines de criminalité particulièrement grave, énoncée à l’article 83 du TFUE. Votre rapporteur déplore que l’initiative de la Commission européenne consistant à étendre la liste des infractions de l’Union – dites « eurocrimes » – aux discours de haine et aux crimes de haine soit bloquée par le Conseil, qui doit se prononcer à l’unanimité ([19]). Les efforts engagés par la présidence française (PFUE) au premier semestre de l’année 2022 pour parvenir à un accord ont malheureusement échoué. Ces difficultés soulignent l’intérêt de la définition large des contenus illicites retenue dans le DSA.

Si la responsabilité des intermédiaires en ligne ne peut être engagée qu’au titre des contenus illicites ou des activités illégales, le DSA comprend également des dispositions destinées à lutter contre la diffusion de contenus « préjudiciables » (harmful contents). La France était favorable à cette approche large en matière de contenus. Ce terme n’est pas défini précisément dans le texte et renvoie à l’ensemble des contenus ou des activités qui présentent un risque pour la société, sans nécessairement être illégaux. Les contenus de désinformation et la conception d’interfaces en ligne susceptibles de stimuler les comportements addictifs relèvent a priori de cette catégorie, même si l’analyse d’impact de la Commission annexée à la proposition de règlement souligne à juste titre que la notion de contenu « préjudiciable » est, « dans une certaine mesure, subjective » ([20]).

2. Le maintien des principes fondamentaux posés par la directive e‑commerce

a. L’aménagement à la marge du principe de responsabilité limitée des intermédiaires en ligne

i. La réforme du régime de responsabilité des plateformes en ligne, une occasion manquée

Le DSA ne remet pas en cause le principe de responsabilité limitée des fournisseurs de services intermédiaires établi par la directive e-commerce. En vertu de ce principe, les intermédiaires ne peuvent pas être tenus responsables des informations présentes sur leurs services, à condition qu’ils agissent promptement pour retirer ou rendre inaccessibles les contenus illicites dont ils ont connaissance. Aucune obligation de surveillance générale a priori des contenus en ligne n’est par conséquent établie. Le maintien du régime de protection des intermédiaires en ligne répond à une double exigence de lutte contre les contenus illicites en ligne et de protection des droits fondamentaux garantis dans l’Union, tels que la liberté d’expression et la liberté d’entreprendre.

Votre rapporteure partage toutefois les réservées exprimées à l’Assemblée nationale ([21]) et au Sénat ([22]) face au manque d’ambition de la révision du régime de responsabilité de certains hébergeurs structurants. Le DSA instaure certes des obligations de diligence supplémentaires pour une catégorie particulière d’hébergeurs, qui fournissent des services aux « caractéristiques particulières » aux termes du considérant 13 : les plateformes en ligne, telles que les réseaux sociaux ou les places de marché (marketplaces). Cette notion renvoie aux hébergeurs qui non seulement stockent les informations fournies par les internautes, mais qui les diffusent au public des informations à la demande d’un destinataire du service d’hébergement (article 3 du DSA). Il est regrettable que règlement reconnaisse explicitement le rôle actif des plateformes en ligne, sans en tirer les conséquences qui s’imposent.

Le DSA aurait ainsi pu prévoir un régime de responsabilité spécifique aux plateformes en ligne, en les distinguant des services d’hébergement traditionnels. La transparence et la neutralité des systèmes algorithmiques pourraient notamment figurer parmi les conditions d’exonération de responsabilité applicables aux plateformes en ligne, en complément des critères en vigueur relatifs à l’ensemble des hébergeurs ([23]).

La clause de réexamen, inscrite à l’article 91 du DSA, prévoit que la Commission évalue la mise en œuvre du règlement au plus tard le 17 novembre 2027, puis tous les cinq ans, dans le cadre d’un rapport remis au Parlement européen, au Conseil et au Comité économique et social européen (CESE). L’opportunité et la faisabilité de créer un régime de responsabilité renforcée pour certaines plateformes en ligne pourraient utilement être examinées par la Commission, en privilégiant un calendrier d’évaluation plus rapide que la date butoir fixée par le DSA.

Proposition n° 1

Créer un régime de responsabilité spécifique aux plateformes en ligne, en intégrant la transparence et la neutralité algorithmiques parmi les conditions d’exonération de responsabilité (révision du DSA).

ii. L’adoption d’une clause « du bon Samaritain » suffisamment équilibrée

Contrairement à la proposition de la Commission européenne, l’introduction explicite de la clause dite « du bon Samaritain » est assortie de garde-fous bienvenus (article 7). Ce principe, inspiré de la législation américaine ([24]), garantit que les intermédiaires en ligne ne soient pas pénalisés pour avoir pris des mesures positives destinées à identifier et modérer les contenus illicites. En effet, un fournisseur de services en ligne pourrait être dissuadé de lutter volontairement et de bonne foi contre les contenus illicites par crainte de perdre la « sphère de sécurité » (safe harbor) que lui confère l’exemption conditionnelle de responsabilité.

La version initiale du texte précisait que « les fournisseurs de services intermédiaires ne sont pas réputés inéligibles aux exemptions de responsabilité » prévues par le DSA dès lors qu’ils luttent de bonne foi contre les contenus illicites en ligne. Cette rédaction semblait excessivement favorable aux intérêts des fournisseurs de services intermédiaires, en ne prévenant pas nécessairement l’écueil d’un sous-investissement de ces acteurs dans la modération des informations hébergées ou transmises en ligne. À l’inverse, le dispositif proposé aurait également pu conduire à une sur-modération des contenus, les intermédiaires en ligne étant encouragés à se montrer excessivement proactifs au détriment des droits et libertés des utilisateurs. C’est le sens de la mise en garde formulée par nos collègues Aude Bono-Vandorme et Constance Le Grip dans leur rapport d’information du 19 janvier 2022 sur la proposition de règlement concernant le DSA ([25]). Les rapporteures préconisaient alors de conditionner expressément l’invocabilité de la protection accordée au « bon Samaritain » au retrait des contenus illicites dont les intermédiaires auraient acquis « une connaissance effective ». Si cette précision semble superfétatoire au regard des conditions d’exonération de responsabilité déjà prévues par le texte, elle rappelle la nécessité de ne pas offrir des motifs imprécis aux fournisseurs pour se dégager trop aisément de leurs obligations.

Votre rapporteure se félicite que la formulation retenue dans le texte final du DSA soit plus robuste. Aux termes de son article 7, les intermédiaires en ligne « ne sont pas réputés avoir droit aux exemptions de responsabilité prévues aux articles 4, 5 et 6 du simple fait » qu’ils prennent des mesures volontaires de modération ou qu’ils se conforment à la législation en vigueur. La qualité de « bon Samaritain » est une circonstance importante mais pas suffisante pour qu’un intermédiaire bénéficie du régime de responsabilité limitée.

3. Une régulation ex ante des fournisseurs de services intermédiaires en ligne, qui s’appuie sur une approche graduée fondée sur le risque et adaptée à la diversité des opérateurs

a. Les obligations de diligence applicables à l’ensemble des fournisseurs des services intermédiaires

Les fournisseurs de services sont soumis à des obligations générales de transparence et d’information à l’égard des pouvoirs publics et des utilisateurs. Chaque fournisseur devra nommer un point de contact unique pour les autorités des États membres et la Commission (article 11), ainsi qu’un point de contact unique pour les destinataires du service (article 12). Les informations permettant d’identifier ces points de contact devront être publiques, aisément accessibles et mises à jour régulièrement.

Le DSA fixe également un ensemble de règles concernant le contenu, l’application et le contrôle de l’application des conditions générales d’utilisation édictées par les fournisseurs (article 14). Les utilisateurs du service doivent notamment être informés des politiques et des outils de modération, y compris au sujet de la prise décision fondée sur des algorithmes et le réexamen des décisions par un être humain.

b. Les obligations de diligence applicables aux hébergeurs, y compris les plateformes en ligne

Si le DSA maintient l’équilibre du régime de responsabilité prévu par la directive e-commerce, il renforce toutefois l’effectivité du système de notification et d’action que les services d’hébergement, y compris les plateformes en ligne, sont tenus de mettre en place.

L’article 16 du DSA impose ainsi aux à l’hébergeur de déployer des mécanismes de notification et d’action « faciles d’accès et d’utilisation ». Ces derniers doivent être configurés de telle manière que les internautes puissent soumettre des notifications contenant des informations suffisamment étayées afin que l’hébergeur soit en mesure d’apprécier le caractère illicite des contenus notifiés. Ces notifications doivent être traitées et donner lieu à une décision d’action du fournisseur « en temps opportun », telle que la suspension d’un contenu ou la suppression du compte de l’internaute utilisant le service d’hébergement.

Les notifications transmises aux hébergeurs dans le cadre de leurs mécanismes de notification et d’action sont réputées leur donner une connaissance effective des contenus ou activités illicites. Les fournisseurs sont par conséquent tenus d’agir promptement pour retirer ou bloquer les contenus mis en cause, au risque de ne plus être protégés par le régime « safe harbor ».

Votre rapporteure estime que l’absence de précisions sur le délai de traitement maximal des notifications valides, qui doit simplement intervenir « en temps opportun », est regrettable. Le droit positif institué par le DSA est ainsi moins-disant que le droit souple établi par le Code de conduite de l'Union contre les discours haineux en ligne. En effet, les plateformes signataires se sont engagées à examiner « la majorité des signalements valides en moins de 24 heures ». Cet objectif est formellement atteint puisque 64,4 % des notifications ont été traitées dans un délai de 24 heures en 2022, en recul de plus de 25 points par rapport à 2020. Par ailleurs, l’introduction dans le DSA d’un délai maximal pour le traitement et, le cas échéant, le retrait des contenus notifiés ne supplanterait pas les règles plus protectrices de la législation sectorielle existante. Cette dernière s’applique en tant que lex specialis. À titre d’exemple, le délai de retrait d’une heure à compter de l’injonction, applicable aux contenus terroristes aux termes du règlement TCO du 29 avril 2021, primerait sur un éventuel délai supérieur figurant dans le DSA.

Par conséquent, votre rapporteure recommande d’examiner l’introduction d’un délai maximal de traitement des contenus notifiés aux fournisseurs de services d’hébergement. Le délai retenu devra satisfaire un équilibre entre la réactivité des hébergeurs face à la diffusion de contenus illicites en ligne et le respect de la liberté d’expression au regard du risque de censure préventive. La rapporteure de la commission du marché intérieur et de la protection des consommateurs (IMCO) du Parlement européen, Mme Christel Schaldemose, avait proposé une mesure en ce sens ([26]). L’obligation de retrait sous délai impératif aurait pris la forme d’un dispositif à deux étages, selon lequel les fournisseurs auraient été tenus de retirer les contenus illicites les plus graves dans un délai de 24 heures et les autres contenus illicites dans un délai d’une semaine. Les fournisseurs auraient perdu le bénéfice du régime de responsabilité limitée en cas de manquement à cette obligation de célérité.

L’introduction d’un délai maximal, éventuellement différencié selon la gravité de l’illégalité du contenu considéré, gagnerait à être étudiée dans le cadre de l’évaluation de l’application de l’article 16 du DSA. Cette procédure est prévue spécifiquement par la clause de réexamen de l’article 91.

Proposition n° 2

Examiner l’opportunité et la faisabilité de l’introduction d’un délai maximal de traitement des notifications alléguant du caractère illicite ou préjudiciable d’un contenu en ligne (révision du DSA).

c. Les obligations de diligence supplémentaires applicables aux fournisseurs de plateformes en ligne

Le DSA distingue utilement la sous-catégorie des « plateformes en ligne » au sein de la catégorie plus large des hébergeurs. Ces acteurs sont définis comme des hébergeurs qui, en plus de stocker des informations fournies par les utilisateurs du service, les diffusent au public. Les réseaux sociaux et les plateformes en ligne permettant aux consommateurs de conclure des contrats à distance, soit les places de marché, font partie de la sous-catégorie des plateformes en ligne.

i. Les obligations supplémentaires de lutte contre les contenus illicites et préjudiciables

Les plateformes en ligne devront mettre en place un système interne de traitement des réclamations concernant les décisions prises en rapport avec des contenus illicites ou incompatibles avec leurs conditions générales (article 20). Les restrictions d’utilisation décidées à l’encontre d’un internaute, telles que le retrait d’information ou la suspension de compte, peuvent par conséquent être contestées. Ces voies de recours doivent être « d’un accès et d’une utilisation aisés ».

Par ailleurs, le statut de « signaleurs de confiance » (trusted flaggers) est institué au profit d’entités reconnues pour leur expertise dans la lutte contre les contenus illicites en ligne (article 22). Ce statut est d’ores et déjà accordé volontairement par certaines plateformes à des tiers privilégiés dans le cadre des codes de conduite établis par la Commission européenne. En France, la plateforme PHAROS animée par l’OCLCTIC et la Ligue internationale contre le racisme et l'antisémitisme bénéficient aujourd’hui du statut de signaleur de confiance. Concrètement, le statut de signaleur de confiance est attribué, à la demande d’une entité intéressée, par le coordinateur pour les services numériques de l’État membre concerné. Les signalements effectués par ces acteurs dont doivent être traitées en priorité et donner lieu à des décisions « dans les meilleurs délais ».

Votre rapporteure se félicite de l’extension obligatoire du dispositif des signaleurs de confiance, dont les plateformes en ligne ne se sont pas pleinement saisies à ce jour. Selon le dernier rapport de l’Arcom sur la lutte contre la diffusion de contenus haineux en ligne, plusieurs opérateurs interrogés déclarent ne pas collaborer avec des tiers de confiance en raison de la nature de leur plateforme (Microsoft pour Bing, Yahoo, Fondation Wikimédia) ou pour des motifs d’opportunité relevant de leur politique interne (Pinterest, LinkedIn).

Or la collaboration des plateformes en ligne avec ces partenaires privilégiés apparaît particulièrement bénéfique à l’efficacité de la lutte contre les contenus illicites en ligne. Le réseau X, qui reconnaît 5 signaleurs de confiance en France, déclare avoir reçu 242 signalements de contenus à caractère haineux en 2022, et avoir retiré le contenu signalé dans 66 % des cas. Ce taux de décision de retrait est supérieur aux niveaux atteints à la suite d’un signalement d’un utilisateur (24 %) ou d’un signalement des forces de l’ordre (43 %). Interrogé par votre rapporteure sur la disparité des taux de décision de retrait, X France avance que les signalements émis par les tiers de confiance sont davantage motivés. À l’inverse, les signalements des internautes sont majoritairement des « faux positifs » liés à une mauvaise connaissance des conditions générales d’utilisation du réseau et des dispositions légales applicables.

ii. Les obligations supplémentaires en matière de transparence

Parmi les exigences de transparence importantes, le DSA impose aux plateformes en ligne présentant de la publicité d’informer en toutes circonstances les utilisateurs que les informations affichées constituent de la publicité (article 26, paragraphe 1). Les utilisateurs doivent pouvoir identifier de manière « claire, précise, non ambiguë et en temps réel » le caractère publicitaire de l’annonce ainsi que l’annonceur. Le DSA prévoit également la possibilité de créer, d’ici au 18 février 2025, des codes de conduite pour la publicité en ligne associant la Commission et les parties prenantes, qui devront notamment fournir des informations sur la monétisation des données des internautes (article 46). Cette démarche volontaire complète les engagements pris par certains fournisseurs de services numériques en matière de lutte contre les discours haineux en ligne (2016) et de lutte contre la désinformation (2018).

Votre rapporteure se félicite de l’ambition du texte final, qui dépasse les seules obligations de transparence en encadrant strictement la publicité ciblée en ligne. Cette technique publicitaire « sur mesure » est fondée sur la collecte et l’exploitation des données personnelles. Elle vise à identifier les internautes afin de leur diffuser des annonces personnalisées en fonction de leurs caractéristiques individuelles.

À l’initiative du Parlement européen, les colégislateurs ont ainsi inscrit dans le DSA l’interdiction du ciblage publicitaire fondé sur des données sensibles (article 26, paragraphe 3) ou destiné aux mineurs (article 28). Ces techniques de profilage optimisées sont susceptibles d’avoir des effets négatifs graves sur des publics fragiles ou vulnérables. D’une part, les données à caractère personnelles visées à l’article 9, paragraphe 2 du règlement général sur la protection des données (RGPD) ([27]), telles que la religion et l’orientation sexuelle, ne pourront plus être utilisées par les plateformes en ligne pour présenter des publicités ciblées ([28]). D’autre part, le profilage publicitaire est interdit dès que les plateformes en ligne dès lors que les fournisseurs savent avec « une certitude raisonnable » que le destinataire du service est un mineur.

Votre rapporteure se félicite particulièrement de cette seconde disposition, qui contribue à la protection des mineurs dans l’espace numérique européen. Les très grandes plateformes en ligne, soumises de manière anticipée aux dispositions du DSA, ont annoncé au cours de l’année 2023 qu’elle mettait fin au ciblage publicitaire des mineurs. À titre d’exemple, la société Meta a reconnu en janvier 2023 que les « adolescents ne sont pas nécessairement aussi bien équipés que les adultes pour prendre des décisions sur l’utilisation de leurs données en ligne à des fins publicitaires », ajustant son système de profilage en conséquence ([29]).

d. Les obligations de diligence supplémentaires applicables aux fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne

Un apport important du DSA réside dans l’édiction de règles spécifiques aux fournisseurs de services intermédiaires de grande taille, qui en raison de leur audience, ont acquis un rôle central dans l’économie numérique et la structuration du débat public. Si la proposition initiale de la Commission européenne prévoyait seulement la création de la catégorie des très grandes plateformes en ligne, le Conseil a obtenu au cours des négociations l’introduction d’une catégorie similaire pour les très grands moteurs de recherche. Un seuil de 45 millions d’utilisateurs actifs mensuels moyens du service dans l’Union est fixé comme critère permettant à la Commission de désigner ces acteurs (article 33, paragraphe 1).

Votre rapporteure souligne en particulier l’attention portée à l’évaluation et à l’atténuation des risques systémiques découlant de la conception, du fonctionnement et de l’utilisation des services proposés par les très grandes plateformes et les très grands moteurs de recherche. Ces opérateurs sont tenus d’évaluer au moins une fois par an les quatre risques suivants (article 34) : la diffusion de contenus illicites ; les atteintes aux droits fondamentaux, dont la dignité humaine et la vie privée ; les menaces sur le discours civique, les processus électoraux et la sécurité publique ; les effets négatifs sur la santé publique, les mineurs, ainsi qu’en matière de violences sexistes. Le rapport d’évaluation doit examiner l’influence des outils et des politiques mis en œuvre par les opérateurs, dont les systèmes algorithmiques et les actions de modération des contenus, sur les risques systémiques précités. Les mesures d’atténuation correspondantes doivent être prises par les opérateurs, par exemple en adaptant leur interface en ligne ou en modifiant leurs conditions générales d’utilisation.

Par ailleurs, la mise en place d’un mécanisme de réaction aux crises a été retenue par les colégislateurs dans le contexte de la guerre en Ukraine (article 36). La campagne de désinformation russe intitulée « Doppelgänger », révélée à l’été 2023, illustre l’importance de cette menace hybride. L’opération consiste à déployer des doubles numériques de sites institutionnels ou de médias via des techniques sophistiquées de typosquattage. De faux articles de presse, notamment des journaux Le Monde et Libération, ont ainsi été massivement relayés sur les réseaux sociaux, en particulier la plateforme X. Or l’objectif d’autonomie stratégique implique également de renforcer la capacité de l’Union à défendre et promouvoir ses intérêts dans le champ informationnel.

En cas de crise, la Commission peut adopter une décision exigeant des très grandes plateformes et des très grands moteurs de recherche d’évaluer la contribution de leurs services à la menace identifiée et de prendre des « mesures spécifiques » en conséquence. Ces opérateurs pourraient, par exemple, être contraints d’adapter leurs pratiques de modération ou de renforcer leur coopération avec les tiers de confiance. La notion de crise renvoie à des « circonstances extraordinaires » qui entraînent « une menace grave pour la sécurité publique ou la santé publique dans l’Union ou dans des parties importantes de l’Union ».

Votre rapporteure se félicite du champ matériel relativement circonscrit des crises invocables. Il se démarque des définitions extensives que la Commission tend à proposer pour s’assurer des marges de manœuvre suffisantes dans le déploiement des instruments de réaction aux crises, dont l’Union se dote progressivement ([30]). Par ailleurs, l’activation par la Commission du mécanisme de réaction aux crises nécessite une recommandation préalable du Comité européen des services numériques, qui adopte ses décisions à la majorité simple. Or chaque État membre dispose d’une voix au sein dudit Comité, par l’intermédiaire de son coordinateur pour les services numériques. Ces règles de fonctionnement réduisent a priori le risque d’une activation injustifiée ou arbitraire des sujétions de crise imposées aux opérateurs structurants.

C. UN SYSTÈME ROBUSTE de contrÔle et de sanction, reposant sur les autoritÉs nationales compÉtentes et la commission

1. Au niveau des États membres, la création d’un coordinateur pour les services numériques

Compte tenu de la nature transversale des dispositions du DSA, les États membres doivent désigner un « coordinateur pour les services numériques » (CSN) chargé de coordonner au niveau national l’application et le contrôle du règlement (article 49, paragraphe 2). En France, l’article 25 du projet de loi visant à sécuriser et réguler l'espace numérique prévoit d’attribuer cette fonction à l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom). Cette désignation est judicieuse au regard de garanties historiques d’autonomie et d’expertise présentées par l’autorité administrative indépendante en matière de régulation de la communication numérique.

Les missions du coordonnateur pour les services numériques sont de quatre ordres.

En premier lieu, le coordinateur pour les services numériques est chargé de superviser la bonne mise en œuvre du DSA par les acteurs qui ont leur établissement principal sur le territoire de son État membre. Il est doté à cet effet de prérogatives d’enquête, y compris des pouvoirs d’inspection sur site et d’accès aux informations (article 51, paragraphe 1), et de pouvoirs d’exécution, par exemple pour imposer des mesures correctives afin de faire cesser une infraction (article 51, paragraphe 2). Le coordinateur pour les services numériques pourra sanctionner un opérateur à hauteur de 6 % de son chiffre d’affaires mondial annuel si ce dernier ne respecte pas les obligations qui lui incombent au titre du DSA (article 52, paragraphe 1). Une astreinte représentant 5 % de son chiffre d’affaires mondial journalier moyen peut être prononcée à l’encontre d’un fournisseur qui ne se soumettrait pas à une injonction (article 52, paragraphe 2). Le montant dissuasif des amendes prévues par le DSA contribue pleinement à son effectivité.

En deuxième lieu, le coordinateur pour les services numériques veille à l’étroite coopération entre les différents organismes nationaux désignés autorités compétentes. Si le coordinateur pour les services numériques demeure responsable de l’exécution du DSA, les États membres ont la faculté de confier à d’autres autorités la mise en œuvre de dispositions sectorielles ou thématiques du règlement. L’article 25 du projet de loi désigne à cet effet la direction générale chargée de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la Commission nationale de l'informatique et des libertés (CNIL) comme autorités administratives chargées de la mise en œuvre du règlement. Ces dernières seraient respectivement chargées des dispositions du DSA relatives à la protection des consommateurs et portant sur la protection des données personnelles.

En troisième lieu, le coordinateur pour les services numériques joue le rôle de guichet unique national à l’égard de la Commission et collabore avec ses homologues des autres États membres en siégeant au Comité européen des services numériques (article 62). Ce dernier, présidé par la Commission, conseille les coordinateurs nationaux pour l’application cohérente du règlement et les assiste dans l’analyse des rapports et des résultats des audits réalisés auprès des très grandes plateformes et des très grands moteurs de recherche. Le Comité soutient également l’organisation d’enquêtes conjointes susceptibles d’être lancées à l’initiative d’un ou plusieurs coordinateurs nationaux en cas d’infractions transfrontières alléguées (article 63).

En dernier lieu, le coordinateur pour les services numériques exerce une mission de veille et d’analyse des risques systémiques des grands acteurs, en bonne coopération avec la Commission européenne.

2. Au niveau de l’Union, la régulation directe des opérateurs de très grande taille par la Commission

En complément des obligations asymétriques imposées aux fournisseurs de services numériques selon la taille et la nature de leurs activités, le DSA introduit une gouvernance à deux étages. Votre rapporteure estime que la répartition des compétences entre les autorités nationales et la Commission est pertinente. Dans une logique de subsidiarité, la proposition de règlement initiale faisait intervenir la Commission européenne en ultime recours, seulement si l’infraction commise par un opérateur de très grande taille et constatée par un coordinateur national n’avait pas cessé.

Le texte final dispose que les opérateurs les plus importants sont directement soumis au contrôle de la Commission et doivent se conformer aux dispositions du DSA de manière anticipée, en l’espèce depuis le 25 août 2023. À l’inverse, la surveillance des fournisseurs intermédiaires visés par le DSA et ne relevant pas des catégories de très grandes plateformes et de très grands moteurs de recherche relève du coordinateur national. Ces entreprises doivent se mettre en conformité d’ici au 14 février 2024. Si un opérateur relevant de ces catégories ne respecte pas les obligations générales applicables à l’ensemble des fournisseurs intermédiaires, ce n’est que dans la mesure où la Commission n’a pas engagé de procédure concernant une violation supposée de ces mêmes obligations que le coordinateur national est habilité à intervenir. Le respect des obligations renforcées spécifiques aux très grands moteurs de recherche et très grandes plateformes (chapitre III, section IV) demeure de la seule compétence de la Commission.

La Commission est d’abord chargée de désigner les très grandes plateformes et les très grands moteurs de recherche, dont le nombre d’utilisateurs européens dépasse le seuil de 45 millions par mois (article 33). Le calcul du nombre de destinataires actifs du service est réalisé par la Commission à partir des données communiquées au moins tous les six mois par l’ensemble des fournisseurs de plateformes et de moteurs de recherche. La première décision de la Commission, en date du 25 avril 2023, identifie les acteurs suivants :

- très grandes plateformes en ligne (17 acteurs) : Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube et Zalando ;

- très grands moteurs de recherche en ligne (2 acteurs) : Bing et Google Search.

La Commission dispose de pouvoirs d’enquête et d’exécution étendus par rapport aux prérogatives reconnues aux coordinateurs nationaux. Elle peut engager une procédure visant un opérateur de manière autonome ou à l’issue d’une demande d’un coordinateur national. En tout état de cause, la Commission est tenue d’informer tous les coordinateurs nationaux et le Comité européen des services numériques de l’engagement d’une procédure à l’encontre d’un opérateur soupçonné d’enfreindre le DSA (article 66, paragraphe 2). Elle peut également s’appuyer sur les services des coordinateurs et des autorités compétentes des États membres pour inspecter les opérateurs établis sur leur territoire.

La mise en place de mécanismes de coordination est une condition importante de la mise en œuvre effective du DSA. Dans le cas de la France, une convention est en cours d’élaboration entre l’Arcom et la Commission européenne pour préciser les modalités pratiques des futures relations entre les deux entités. Il est toutefois regrettable que le règlement ne prévoit pas expressément une phase d’évaluation des bonnes pratiques de coopération entre la Commission et les autorités nationales compétentes. À cet égard, votre rapporteure déplore que les autorités françaises aient une connaissance limitée des projets d’adaptation du droit national envisagés par nos voisins européens. La méconnaissance des pratiques en vigueur dans les autres États membres, qui s’explique partiellement par le caractère précoce des mesures françaises, limite la capacité des régulateurs concernés à adopter les meilleurs standards.

Cet indispensable retour d’expérience annuel pourrait être formalisé dans le cadre de « l’élaboration et la mise en œuvre de normes européennes, lignes directrices, rapports, modèles et codes de conduite » que la Comité doit établir en lien avec les parties prenantes (article 66, paragraphe 1). Une première étude recensant les bonnes pratiques pourrait être menée au terme de la première année d’application du DSA, soit le 25 août 2024. Cette analyse porterait notamment sur les modes de fonctionnement à l’œuvre (i) entre la Commission et les coordinateurs nationaux, (ii) entre les coordinateurs nationaux et les autorités nationales compétentes, et (iii) entre les coordinateurs nationaux des différents États membres.

Proposition n° 3

Procéder à un échange annuel de bonnes pratiques sur la surveillance du respect des obligations spécifiques aux très grandes plateformes et aux très grands moteurs de recherche dans le cadre du Comité européen des services numériques (Commission européenne, États membres).

La Commission dispose elle-même d’importants pouvoirs de sanction. S’il apparaît que les règles posées par le règlement ou les engagements pris par une très grande plateforme ou un très grand moteur de recherche n’ont pas été respectées (art. 58), la Commission pourra infliger des amendes, à concurrence de 6 % du chiffre d’affaires annuel mondial (art. 74), et des astreintes, à concurrence de 5 % du chiffre d’affaires mondial quotidien (art. 76).

Le DSA habilite également, en dernier ressort, la Commission à demander l’application d’une mesure temporaire de restriction de l’accès au service fourni par une très grande plateforme ou un très grand moteur de recherche (article 82). Concrètement, cette sanction est requise par le coordinateur pour les services numériques de l’État membre d’établissement du fournisseur concerné à la demande de la Commission européenne. Le coordinateur national peut également soumettre une demande de restriction d’accès pour les opérateurs relevant de sa responsabilité. Avant d’adresser une telle demande au coordinateur pour les services numériques, la Commission invite les parties intéressées à soumettre des observations écrites dans un délai qui ne peut être inférieur à quatorze jours ouvrables, en décrivant les mesures qu’elle entend demander et en identifiant le ou les destinataires prévus.

La sanction, prévue dans des cas extrêmes, est assortie de garanties de nature à assurer la nécessité et la proportionnalité de la mesure. L’autorité judiciaire compétente au niveau national peut ordonner une mesure de restriction d’accès sous certaines conditions limitatives :

- la Commission a épuisé l’ensemble des pouvoirs qui lui sont conférés sans parvenir à faire cesser l’infraction ;

- le coordinateur pour les services numériques, saisi par la Commission, a prescrit un plan de remédiation au fournisseur pour mettre fin à l’infraction, auquel le fournisseur ne s’est pas conformé ;

- l’infraction constitue une infraction pénale impliquant une menace pour la vie ou la sécurité des personnes.

La restriction d’accès ordonnée par l’autorité judiciaire s’applique pour une durée de quatre semaines. Cette période est susceptible d’être prolongée par le juge si le fournisseur de services a failli à prendre les mesures correctrices nécessaires et si la mesure est proportionnée, notamment au regard du risque de restriction d’accès à l’information (article 51, paragraphe 3).

Le DSA dote les États membres et la Commission des outils nécessaires pour réguler efficacement l’espace numérique. Le dispositif de restriction d’accès contribue à crédibiliser la stratégie de responsabilisation et de dissuasion retenue par l’Union dans son rapport de force avec les grands fournisseurs de services numériques.

II. LE DMA, UNE RÉGULATION EX ANTE PROMETTEUSE DES GRANDS ACTEURS QUI DOMINENT L’ÉCONOMIE DES PLATEFORMES

A. la politique de concurrence euROPÉenne face aux dÉfis DE l’Économie des plateformes

1. Les caractéristiques de l’économie des plateformes ont favorisé l’émergence d’acteurs numériques structurants dans un environnement peu concurrentiel

L’essor de l’économie numérique à conduit à l’émergence de grandes plateformes captant l’essentiel des parts de marché et de valeur totale générée. Le modèle économique de ces acteurs dominants, souvent réduits à l’acronyme GAFAM (Google, Amazon, Facebook, Apple, Microsoft), repose en partie sur l’exploitation des grandes quantités de données fournies par les internautes dans des conditions opaques. Les données personnelles permettent d’améliorer les produits et les services commercialisés au regard des préférences des consommateurs. Elles contribuent également à monétiser les audiences des plateformes auprès des annonceurs, qui ont recours au profilage publicitaire pour améliorer la performance des campagnes marketing.

La littérature économique identifie plusieurs facteurs défavorables à la contestabilité des marchés numériques, soit la capacité des entreprises à entrer et sortir librement d’un marché.

D’une part, les effets de réseau désignent une relation positive entre le nombre d’utilisateurs présents sur la plateforme et la valeur de la plateforme. Les utilisateurs sont plus attirés par un opérateur donnant accès à un large réseau multifaces, ce qui renforce d’autant sa position sur le marché. L’arrivée de nouveaux clients sur une place de marché en ligne va par exemple renforcer l’intérêt pour les vendeurs de rejoindre la plateforme, et inversement.

D’autre part, les économies d’échelle consistent en une réduction des coûts unitaires de production lorsque celle-ci augmente. Or les produits et les services numériques se caractérisent par d’importants coûts fixes.

Ces phénomènes ont permis à un petit nombre d’entreprises d’acquérir des positions dominantes sur des marchés clés, tels que les services d’informatique en nuage (cloud computing) et les services de messagerie. À titre d’exemple, les sociétés Apple et Microsoft représentaient respectivement la première (1 972 milliards d’euros) et la troisième (1 632 milliards d’euros) capitalisation boursière mondiale en janvier 2023 ([31]).

Figure 1 – Position dominante et parts de marchÉ des gafam (En %, 2019-2020)

Source : Marc Bourreau et Anne Perrot, « Plateformes numériques : réguler avant qu’il ne soit trop tard », note du Conseil d’analyse économique, n° 60, octobre 2020.

Les situations oligopolistiques sont renforcées par les pratiques anticoncurrentielles de certains acteurs, qui cherchent à évincer leurs concurrents pour réduire la pression à la baisse sur les prix des biens et des services. L’amende record de 4,125 milliards d’euros imposée en 2018 à l’entreprise Google par la Commission témoigne du caractère potentiellement abusif des positions dominantes ([32]). Parmi les pratiques incriminées, la société imposait des accords de distribution aux fabricants de téléphones mobiles : leur accès à la boutique d’applications de Google (Play Store) était conditionné à la pré-installation de ses applications de moteur de recherche (Google Search) et de navigation (Chrome).

2. Les insuffisances du droit de la concurrence « traditionnel » pour limiter le pouvoir de marché des grandes plateformes

La politique de concurrence, qui relève de la compétence exclusive de l’Union, présente d’importantes limites pour réguler efficacement les acteurs numériques :

- une intervention ex post, à l’exception du contrôle des concentrations, qui conduit la Commission à réagir tardivement face aux évolutions rapides de l’économie numérique – comme en témoigne la période de trois ans entre l’ouverture de l’enquête et le prononcé d’une sanction à l’encontre de Google dans l’affaire Google Android (2015-2018) ;

- des concepts juridiques et des outils d’analyse inadaptés à l’économie numérique, tels que le « marché pertinent » utilisé pour le calcul des parts de marché et défini par une communication de la Commission de 1997 ([33]).

Le DMA marque à cet effet un changement de paradigme bienvenu, avec une base juridique fondée sur l’article 114 du traité sur le fonctionnement de l’Union (TFUE) relatif au bon fonctionnement du marché intérieur. Les grandes plateformes numériques feront désormais l’objet d’une régulation ex ante, qui se justifie précisément par la démonstration de leur position dominante et s’applique indépendamment de leur comportement sur le marché. Le DMA poursuit dès lors un objectif complémentaire aux règles de concurrence en vigueur dans l’Union et dans les États membres et s’applique sans préjudice de celles-ci.

L’analyse d’impact annexée à la proposition de règlement rappelle les gains économiques attendus du renforcement de la concurrence sur les marchés numériques. Les mesures du DMA destinées à abaisser les barrières à l’entrée sont susceptibles d’augmenter la productivité et la croissance dans le secteur de l’économie des plateformes, tout en favorisant l’innovation. La Commission évalue à 13 milliards d’euros par an, soit 130 milliards d’euros sur dix ans, le surplus des consommateurs associé à un marché plus concurrentiel ([34]). L’interdiction des pratiques déloyales exerce une pression à la baisse sur les prix, par exemple au titre des commissions prélevées par les magasins d’applications auprès des développeurs.

Votre rapporteure se félicite de l’analyse approfondie proposée à l’appui de la proposition de règlement. La Commission se soustrait ponctuellement à cette exigence au prétexte de l’urgence, y compris sur des textes majeurs tels que le règlement pour une industrie « zéro net » présenté en réponse à l’Inflation Reduction Act (IRA) américain ([35]).

B. UNE RÉgulation innovante AU SERVICE DU RÉÉQUILIBRAGE ENTRE LES GATEKEEPERS, LEURS CONCURRENTS ET LEURS UTILISATEURS

1. La désignation des gatekeepers repose sur des critères quantitatifs et qualitatifs pertinents, auxquels il convient de recourir activement

a. La coexistence de deux voies de désignation d’une entreprise comme étant contrôleur d’accès

Le DMA vise un nombre réduit d’acteurs, les « contrôleurs d’accès » (gatekeepers). Une entreprise est désignée ainsi si elle répond à trois critères cumulatifs (article 3, paragraphe 1) :

- elle a « un poids important sur le marché intérieur » ;

- elle fournit un « service de plateforme essentiel », qui constitue un « point d’accès majeur » permettant aux entreprises utilisant la plateforme à des fins commerciales ou professionnelles d’atteindre leurs utilisateurs finaux ;

- elle jouit ou devrait jouir, « selon toute probabilité », d’une position incontournable et durable dans ses activités.

Votre rapporteur regrette que les « services de plateforme essentiels » ne fassent pas l’objet d’une définition conceptuelle. Le DMA se contente de qualifier comme tels une liste exhaustive de dix services numériques (article 2) ([36]), dont les réseaux sociaux et les moteurs de recherche également visés par le DSA.

Les critères de désignation des contrôleurs d’accès sont réputés remplis si l’entreprise atteint deux seuils quantitatifs (article 3, paragraphe 2) :

- une capitalisation boursière supérieure à 75 milliards d'euros au cours du dernier exercice ou un chiffre d’affaires dans l’Union supérieur à 7,5 milliards d'euros au cours des trois derniers exercices ;

- un service de plateforme essentiel qui accueille, au cours du dernier exercice et au sein de l’Union, au moins 45 millions d’utilisateurs actifs par mois et 10 000 entreprises utilisatrices actives.

La Commission désigne les contrôleurs d’accès au regard des informations transmises par les fournisseurs de services de plateforme qui atteignent les seuils quantitatifs prévus à l’article 3, paragraphe 2. La liste des contrôleurs d’accès est réexaminée au moins tous les trois ans et peut être modifiée à tout moment par la Commission, notamment si les faits fondant la décision de désignation subissent un changement important.

Le DMA prévoit utilement une procédure de désignation alternative, fondée sur des critères qualitatifs. En effet, la Commission désigne comme contrôleur d’accès, au terme d’une enquête de marché, toute entreprise fournissant des services de plateforme essentiels qui satisfait à chacune des exigences visées à l’article 3, paragraphe 1, mais n’atteint pas les seuils quantitatifs. Un ensemble varié de critères peut être invoqué à cet effet, tels que la taille de l’entreprise, les effets de réseau et les économies d’échelle de son activité, ainsi que la captivité des entreprises et des utilisateurs qui en bénéficient.

Cette marge d’appréciation encadrée est nécessaire pour éviter les effets de seuils qui permettraient à certains acteurs d’échapper à l’application du DMA. La France a soutenu dès le début des négociations une double approche dans la définition des seuils du DMA, estimant que les cotations boursières et le nombre de clients professionnels sont des agrégats sujets à de fortes variations.

b. La liste des contrôleurs d’accès du 6 septembre 2023, une première approche à confirmer et à élargir

La Commission européenne a désigné, le 6 septembre 2023, une première série de six contrôleurs d’accès : Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft. Au total, 22 services de plateforme essentiels fournis par ces entreprises ont été désignés.

Les six contrôleurs d'accès disposent à présent de six mois – jusqu’au 6 mars 2024 – pour se conformer aux obligations fixées par le DMA, pour chacun de leurs services de plateforme essentiels désignés.

Figure 2 – DÉsignation des contrÔleurs d’accÈs

Source : Commission européenne, septembre 2023.

Note : l’acronyme NIICS (Number Independent Interpersonal Communications Services) désigne des services de messagerie enrichis.

En application de l’article 17, paragraphe 1, la Commission a ouvert quatre enquêtes de marché d’une durée de cinq mois, afin d'examiner si les observations formulées par Microsoft et Apple reposent sur des « arguments suffisamment étayés ». Ces entreprises, bien qu’elles atteignent les seuils quantitatifs, ont fait valoir dans leur notification que certains de leurs services de plateforme essentiels ne sauraient être considérés comme des points d'accès. En l’espèce, les enquêtes de marché portent sur les services Bing (moteur de recherche), Edge (navigateur) et Microsoft Advertising (publicité en ligne) de Microsoft et sur le service iMessage (messagerie) d’Apple.

Plusieurs fournisseurs de services structurants et visés par le DMA n’ont pas été désignés à ce stade comme contrôleurs d’accès par la Commission. L’absence des services de cloud d’Amazon, de Microsoft et de Google serait notamment liée à la difficulté de recueillir des données fiables sur le nombre d’entreprises utilisatrices et d’utilisateurs finaux.

Votre rapporteure s’inquiète en particulier de la non-désignation du réseau X comme contrôleur d’accès, alors qu’il relève de la catégorie des très grandes plateformes en ligne au sens du DSA. Les seuils quantitatifs fixés par le DMA peuvent expliquer des résultats, en première analyse, différents. Le critère du « poids important sur le marché intérieur », mesuré par la capitalisation boursière – Twitter s’est retiré de la cote en novembre 2022 – et le chiffre d’affaires réalisé dans l’Union, ne semble pas atteint. Par ailleurs, le critère du « point d’accès majeur » implique d’atteindre simultanément un seuil d’utilisateurs finaux et un seuil d’entreprises utilisatrices. Si le critère du nombre d’utilisateurs finaux par mois, fixé à 45 millions, est commun au DMA et au DSA, le critère du nombre d’utilisateurs professionnels (« BtoB ») est propre au DMA. Il se justifie par l’objectif, spécifique au DMA, de rééquilibrage des relations entre les plateformes et leurs entreprises partenaires. La notion d’entreprises utilisatrices est ainsi peu pertinente au regard l’activité d’X.

Votre rapporteur regrette par conséquent que la Commission n’ait pas répondu favorablement à l’appel de l’Allemagne, qui suggérait en décembre 2022 de recourir aux critères qualitatifs pour apprécier la situation d’X ([37]). Ces derniers sont a priori pertinents pour caractériser la position importante d’X sur le marché des réseaux sociaux, notamment au regard de la taille de l’entreprise et des effets de réseau qui attirent des annonceurs publicitaires. Si elle ne s’est pas jointe publiquement à la demande de l’Allemagne, la France appelle également à préserver « la cohérence globale du paquet DSA – DMA » ([38]).

Seule la Commission est compétente, en vertu de l’article 17 du DMA, pour ouvrir une enquête de marché afin d’examiner si X devrait être désigné comme étant un contrôleur d’accès. En parallèle, le DMA confère la capacité à trois États membres ou plus de saisir la Commission européenne lui demandant de procéder à une enquête de marché, s’ils disposent de « motifs raisonnables » de soupçonner qu’un opérateur devrait être désigné comme contrôleur d’accès (article 41). Aucune enquête de marché n’a été demandée par les États membres sur le fondement de l’article 41 du DMA à ce stade.

Votre rapporteure appelle par conséquent les États membres, dont la France et l’Allemagne, à faire preuve de volontarisme en sollicitant la Commission en ce sens. De même, la Commission gagnerait à utiliser pleinement la marge d’appréciation offerte par les critères qualitatifs du DMA pour assurer la régulation effective des grandes plateformes, dont X, au bénéfice des entreprises et des consommateurs européens.

Proposition n° 4

Solliciter la Commission européenne pour ouvrir une enquête de marché susceptible d’aboutir à la désignation du réseau X comme étant un contrôleur d’accès (États membres).

Faire un usage extensif des critères qualitatifs permettant de désigner une entreprise comme étant un contrôleur d’accès soumis aux obligations du DMA (Commission européenne).

2. Les obligations applicables aux contrôleurs d’accès, une nouvelle ère pour la régulation des acteurs numériques

a. Contrôleurs d’accès vs. entreprises utilisatrices et consommateurs finaux : un rééquilibrage bienvenu des relations commerciales

Le DMA prévoit un ensemble d’obligations et d’interdictions auxquelles devront se conformer les contrôleurs d’accès à partir du 6 mars 2024.

Parmi les prescriptions majeures du DMA, les contrôleurs d’accès devront notamment garantir aux entreprises utilisateurs un traitement équitable, raisonnable et non discriminatoire sur trois marchés clés : les boutiques d’applications logicielles, les moteurs de recherche et les services de réseaux sociaux.

En application de ces clauses générales, dites FRAND (fair, reasonable, and non-discriminatory), un contrôleur d’accès aura l’interdiction d’entraver l’installation et l’utilisation de boutiques d’applications proposées par des tiers sur les produits utilisant son système d’exploitation (article 6, paragraphe 4). À titre d’exemple, Apple impose aujourd’hui aux utilisateurs d’installer des applications sur ses produits, tels que l’iPhone, via une boutique officielle, l’App Store. Apple a d’ores et déjà annoncé, en anticipation du DMA, que des applications pourraient être installées sur ses produits sans passer par l’App Store, c’est-à-dire par la voie du sideloading. De même, le magasin d’applications d’un contrôleur d’accès aura l’interdiction de prélever des commissions excessives auprès de ces mêmes développeurs d’applications (article 6, paragraphe 12). C’est également le cas d’Apple, qui prélève en principe une commission de 30 % sur les transactions effectuées sur l’App Store. Apple a d’ores et déjà annoncé, en anticipation du DMA, que des applications pourraient être installées sur ses produits sans passer par l’App Store, c’est-à-dire par la voie du sideloading.

Les consommateurs seront également les bénéficiaires directs de certaines dispositions du DMA, telles que l’obligation pour les contrôleurs d’accès de garantir l’interopérabilité des fonctionnalités de base de leurs services de messagerie instantanée (article 7, paragraphe 1). Les fonctionnalités soumises à l’exigence d’interopérabilité sont progressivement étendues afin de laisser le temps nécessaire aux opérateurs de développer les modalités techniques adéquates. Les échanges de messages textuels et vocaux, d’images et de vidéos entre deux utilisateurs individuels doivent être opérables dès l’entrée en application du DMA. Cette obligation sera progressivement étendue aux échanges au sein de groupes d’utilisateurs (dans un délai de deux ans) puis aux appels vocaux et vidéo (dans un délai de quatre ans). Il convient de saluer le travail d’accompagnement et de sensibilisation réalisé par la Commission et le Parlement européen, qui organisent une série d’ateliers techniques associant les grandes plateformes depuis le début de l’année 2023 – soit avant même la désignation formelle des contrôleurs d’accès.

b. Le renforcement du contrôle ex ante des opérations de concentration

Votre rapporteure souligne également la contribution importante du DMA, pourtant centré sur les enjeux afférents aux abus de position dominante, au renouveau de la politique de contrôle des concentrations.

L’article 14, paragraphe 1, du DMA impose aux contrôleurs d’accès, depuis le 2 mai 2023, d’informer la Commission de tout projet de concentration qu’ils entendent réaliser. Le périmètre des opérations soumises à l’obligation de notification est particulièrement large. Il couvre les entités fournissant les services de plateforme essentiels, directement visés par le DSA, mais également « tout autre service dans le secteur numérique ou permettant la collecte de données ».

L’obligation d’information sur les concentrations remédie en partie aux insuffisances du règlement du 20 janvier 2004 sur les concentrations d’entreprises ([39]). Ce texte impose aux entreprises de notifier à la Commission les opérations de concentration « de dimension communautaire », notion définie à partir de plusieurs seuils de chiffre d’affaires. Or les règles en vigueur permettent à certaines opérations à fort enjeu d’échapper au contrôle des concentrations, par exemple lorsque l’entreprise cible est émergente et génère un chiffre d’affaires insuffisant. L’Union est désormais mieux outillée pour lutter contre les acquisitions prédatrices (killer acquisitions) par lesquelles un acteur dominant acquiert un acteur prometteur afin de renforcer sa position de marché, tout en éliminant un concurrent potentiel.

Par ailleurs, la Commission doit signaler aux autorités de concurrence nationales les projets de concentration dont elle est informée. Cet échange d’information renforce le caractère opérationnel du mécanisme de renvoi prévu à l’article 22 du règlement de 2004 sur les concentrations. Ce dernier permet à un ou plusieurs États membres de demander à la Commission d'examiner toute concentration qui n'est pas de dimension communautaire mais « qui affecte le commerce entre États membres et menace d'affecter de manière significative la concurrence sur le territoire » des pays demandeurs.

C. UNE architecture de mise en œuvre articulÉe autour de la Commission, QUI GAGNERAIT À ASSOCIER PLUS ÉTROITEMENT LES ÉTATS MEMBRES ET LA SOCIÉTÉ CIVILE

1. Les pouvoirs de contrôle et de sanction étendus reconnus à la Commission

Contrairement au DSA, le DMA s’applique à une seule catégorie d’acteurs, les contrôleurs d’accès, et ne justifie a priori pas la mise en place d’un système à deux étages.

La Commission est par conséquent la seule autorité compétente pour ouvrir et mener trois types d’enquêtes :

- l’enquête de marché pour la désignation des contrôleurs d’accès (article 17) ;

- l’enquête de marché portant sur le non-respect systématique, par un contrôleur d’accès, des obligations lui incombant en application DMA (article 18) ;

- l’enquête portant sur les nouveaux services et les nouvelles pratiques, qui doit notamment déterminer s’il convient d’inscrire un ou plusieurs services numériques sur la liste des « services de plateforme essentiels » régulés par le DMA (article 19).

La Commission dispose de l’ensemble des prérogatives d’enquête, de coercition et de contrôle pour assurer l’application effective du règlement. À titre d’exemple, les agents de la Commission disposent de pouvoirs d’inspection leur permettant d’accéder aux sites des entreprises visées ou d’exiger l’accès aux informations pertinentes, tels que les systèmes algorithmiques et pratiques commerciales de l’opérateur (article 23).

Les mesures susceptibles d’être prises par la Commission à l’encontre d’un contrôleur d’accès enfreignant systématiquement ses obligations sont particulièrement contraignantes (article 18). Le non-respect systématique est constaté lorsque la Commission a émis au moins trois décisions constatant un manquement à l’encontre d’un contrôleur d’accès au cours des huit années précédant l’ouverture de l’enquête de marché. Toute mesure corrective comportementale ou structurelle « proportionnée et nécessaire » peut alors être exigée d’un contrôleur d’accès, telle que l’interdiction de procéder à une opération de concentration pendant une période limitée.

À l’extrémité du continuum de remèdes envisageables, la Commission pourra désormais ordonner le démantèlement des contrôleurs d’accès en cas de manquements répétés à leurs obligations. Cette sanction radicale pourrait alors contraindre les entreprises contrevenantes à céder une activité ou des parties de celle-ci, par exemple en vendant des actifs ou des droits de propriété intellectuelle. Votre rapporteur salue le caractère extrêmement dissuasif de la mesure de démantèlement, tout en soulignant qu’elle ne doit être envisagée qu’en dernier recours. Certains économistes mettent en garde contre la complexité de la procédure et les risques de perte d’efficacité économique. L’analyse de la Commission devra, le cas échéant, « mettre en balance la perte d’efficacité liée au découpage et le gain concurrentiel attendu » du démantèlement ([40]).

Enfin, les amendes susceptibles d’être prononcées par la Commission en cas de non-respect des obligations du DMA ou des mesures correctives énoncées sont plus élevées que celles prévues par le DSA. En effet, l’amende peut atteindre jusqu’à 10 % du chiffre d’affaires mondial du contrôleur d’accès, contre 6 % pour les fournisseurs de services intermédiaires relevant du DSA.

La mise en œuvre du DMA, un enjeu de ressources humaines

L’application du DMA relève, au niveau de la Commission, de la compétence d’une Taskforce commune à la direction générale des réseaux de communication, du contenu et des technologies (DG CONNECT) et à la direction générale de la concurrence (DG COMP). Les enjeux traités par le règlement nécessitent l’expertise conjointe de ces deux directions générales pilotes, en lien avec d’autres services compétents tels que le Service juridique de la Commission.

Les équipes de la Commission en charge de la mise en œuvre du DSA comptent 65 agents à ce stade. Des recrutements sont en cours pour atteindre un objectif de 80 agents dans les prochains mois.

Source : audition de la DG CONNECT.

2. Les États membres, des prérogatives à défendre et une expertise à valoriser

a. La capacité de la Commission à adapter le DMA par la voie d’actes délégués, une flexibilité manifestement excessive

Votre rapporteure ne souhaite pas rouvrir le débat récurrent sur l’inflation du recours aux actes délégués dans le droit européen. Ces actes non législatifs sont pris par la Commission pour modifier ou compléter, de manière rapide et flexible, « certains éléments non essentiels » de l’acte législatif initial par lequel les colégislateurs délèguent leurs pouvoirs (article 290 TFUE). L’usage croissant des actes délégués est notamment critiqué en ce qu’il tend à déresponsabiliser le Conseil et le Parlement européen, tout en étant soumis à un processus d’élaboration peu transparent.

En l’espèce, la Commission est habilitée à adopter des actes délégués sur des aspects clés de la régulation des contrôleurs d’accès, qui dépassent largement les « éléments non essentiels » du texte. À titre d’exemple, l’article 12 précise que les actes délégués peuvent « élargir une obligation qui s’applique uniquement dans le cadre de certains services de plateforme essentiels à d’autres services de plateforme essentiels » énumérés par le DMA. Or il apparaît essentiel que les obligations imposées à certains services, telles que l’interopérabilité des services de messagerie, fassent l’objet d’une extension réfléchie, discutée par les colégislateurs et respectueuse du principe de sécurité juridique.

Le pouvoir normatif délégué à la Commission européenne est donc insuffisamment circonscrit. En effet, l’échéance de réexamen du DMA, prévue au plus tard le 3 mai 2026 par l’article 53 du règlement, semble déjà offrir des garanties suffisantes pour éviter que le cadre de régulation ne devienne très vite obsolète.

b. La capacité d’intervention et l’expertise des États membres pourraient être davantage valorisées

La Commission européenne sera l’autorité en charge de la supervision du DMA et, par conséquent, la seule entité compétente pour prendre une décision à l’encontre d’un contrôleur d’accès. Ce schéma institutionnel est justifié par la nécessité de garantir la rapidité et l’efficacité de la régulation des contrôleurs d’accès, dont les activités ont une portée pan-européenne voire mondiale.

Votre rapporteure estime que les mécanismes de coopération et de coordination, au cœur de la mise en œuvre du DSA, sont insuffisants dans le cadre du DMA. Le Réseau européen de la concurrence (REC), créé en 2004, sera l’enceinte privilégiée pour l’échange d’information sur l’exécution du DMA entre la Commission et les autorités de concurrence nationale. Un groupe de haut niveau piloté par la DG COMP et la DG CONNECT de la Commission européenne doit également réunir des représentants des États membres, issus de l’Arcom, de la CNIL et de la DGCCRF dans le cas de la France, et des réseaux européens de régulateurs, tels que l’Organe des régulateurs européens des communications électroniques (BEREC).

À l’exception de ces dispositifs, la participation effective des autorités nationales à la régulation des contrôleurs d’accès au titre des obligations découlant du DMA est limitée. Les États membres peuvent solliciter auprès de la Commission l’ouverture d’une enquête de marché pour la désignation d’un contrôleur d’accès (trois États au moins), portant sur le non-respect systématique du DMA (un État au moins) ou relative à l’extension de la liste des services de plateforme essentiels (trois États au moins). La Commission examine l’opportunité d’engager une enquête de marché dans les quatre mois suivant la réception de la demande, sans devoir y répondre favorablement. Ce filtre doit prévenir les demandes abusives ou unilatérales de la part des États membres.

Votre rapporteure est consciente que la coopération entre la Commission et les États membres sur la mise en œuvre du DMA doit encore entrer dans sa phase opérationnelle.

En tout état de cause, si des insuffisances venaient à être constatées, une évolution du dispositif de demande d’enquête de marché (article 19) pourrait consister à introduire un seuil d’États demandeurs au-delà duquel la Commission serait tenue d’ouvrir une enquête, sans préjuger de l’issue de celle-ci (désignation du contrôle d’accès, prononcé de mesures correctives, etc.). La Commission pourrait également se doter d’une doctrine volontaire à droit constant, en s’engageant par exemple à ouvrir une enquête dès que quatre États membres en font la demande ([41]).

L’expertise et l’expérience acquises par les autorités de concurrence nationales seraient alors utilement mobilisables, à la manière de l’Autorité de la concurrence française qui s’est dotée d’un service de l’économie numérique en janvier 2020.

Proposition n° 5

Établir, à droit constant, une doctrine consistant à faciliter l’ouverture d’enquêtes de marché à la demande des États membres (Commission européenne).

3. La société civile, grande oubliée du DMA

L’article 34 du règlement garantit à toute entreprise soumise à une procédure de la Commission la possibilité de faire connaître ses observations avant l’adoption de toute décision susceptible d’affecter négativement ses intérêts. Le « droit d’être entendu » et le « droit d’accès au dossier » valent notamment pour les décisions concluant au nom respect des obligations du DMA, les amendes et les astreintes.

Ces garanties au bénéfice des entreprises sont bien évidemment nécessaires, mais votre rapporteure déplore que les groupes issus de la société civile, dont les associations de protection des consommateurs, soient insuffisamment associés à la mise en œuvre du DMA. Les acteurs tiers susceptibles de voir leurs intérêts lésés par les agissements anti-concurrentiels des fournisseurs de services de plateforme essentiels détiennent un intérêt légitime à être consultés au cours des procédures d’enquête de marché et de contrôle. Cette mesure de transparence a notamment été portée par le Bureau européen des consommateurs (BEUC) au cours des négociations du DMA, sans succès ([42]).

L’article 27 du DMA prévoit utilement que les tiers, y compris les utilisateurs finaux et leurs représentants, puissent informer les autorités nationales compétentes et la Commission concernant les comportements des contrôleurs d’accès soumis au règlement. Or les renseignements portent seulement sur les agissements des contrôleurs d’accès désignés, sans que le DMA ne précise s’ils peuvent conduire la Commission à ouvrir une enquête de marché pour la désignation d’autres entreprises. Par ailleurs, la participation des tiers se limite à un rôle d’alerte précoce, sans prévoir une association structurée au cours des procédures ultérieures. À défaut, votre rapporteure la transparence, l’efficacité et l’acceptabilité des mesures prises par la Commission sont susceptibles d’en être affectées.

Proposition n° 6

Reconnaître le « droit d’être entendu » aux groupes de la société civile démontrant un intérêt légitime à être consultés dans le cadre des procédures pertinentes du DMA (révision du DMA).

DEUXIÈME PARTIE : UN PROJET DE LOI aux objectifs lÉgitimes, dont la conformitÉ au droit europÉen est toutefois contestable

le projet de loi visant À sÉcuriser et rÉguler l’espace numÉrique pourrait contribuer À la fragmentation du marchÉ unique numÉrique europÉen

A. les dispositions du projet de loi dÉpassent la seule adaptation du droit franÇais À la lÉgislation de l’Union

Votre rapporteure accueille avec intérêt le projet de loi visant à sécuriser et réguler l'espace numérique, dit « SREN ». Ce texte a été présenté en Conseil des ministres le 10 mai 2023 et déposé en premier lieu au Sénat, qui l’a adopté en première lecture le 5 juillet 2023. Le projet de loi issu des travaux du Sénat comprend 45 articles, soit huit de plus que dans le texte initial, répartis en huit titres.

L’exposé des motifs du projet de loi rappelle à juste titre que, face aux graves mésusages des opportunités de l’espace numérique, « le rôle de l'État consiste donc à la fois à accompagner cette transition et à veiller au respect de nos valeurs communes et des principes cardinaux de notre contrat social ». À cet effet, le projet de loi comporte des dispositions destinées à réguler l’espace numérique, qui peuvent être réparties en deux catégories.

1. Assurer la pleine effectivité du droit européen en droit français

En premier lieu, les dispositions du projet de loi visent à adapter le droit français au droit européen en vigueur, en particulier le DSA du 19 octobre 2022, le DMA du 14 septembre 2022 et le règlement sur la gouvernance européenne des données (Data Governance Act, DGA) du 30 mai 2022. Les textes européens, y compris les règlements d’effet direct, peuvent justifier des mesures d’adaptation du droit national. Cette coordination est notamment nécessaire pour aligner les définitions figurant dans le corpus législatif français avec les définitions prévues par le droit européen et pour procéder à la désignation des autorités nationales chargées de la mise en œuvre de la législation européenne.

À titre d’exemple, l’article 27 du projet habilite l’Autorité de la concurrence et la DGCCRF à mener des inspections sur les contrôleurs d’accès lorsque les manquements au DMA se produisent sur le territoire national et qu’elles sont mandatées à cet effet par la Commission, conformément à l’article 23 du règlement. De même, la CNIL est désignée par l’article 31 du projet de loi comme autorité compétente pour l’application des dispositions du DGA sur l’altruisme des données. Le DGA, qui sera applicable à partir du 24 septembre 2023, vise à favoriser le partage des données personnelles et non personnelles, en encadrant par exemple les services d’intermédiation de données (dits « pool de données »).

Votre rapporteure se félicite que la France soit parmi les premiers États membres à tirer les conséquences nécessaires du DSA, du DMA et du DGA. L’article 25 du projet de loi attribue notamment à l’Arcom la fonction de coordinateur pour les services numériques, en application de l’article 49 du DSA. La Commission suit avec attention l’état d’avancement de la désignation de ces autorités par les États membres. L’Irlande occupe ainsi un rôle stratégique dans l’architecture de mise en œuvre du DSA en qualité de pays principal d’établissement de nombreux fournisseurs de services numériques. L’Irlande est le premier pays européen à avoir désigné, le 15 mars 2023, son coordinateur national : l’autorité « Coimisiún na Meán », spécialement créée par une loi de 2022 dite « Online Safety and Media Regulation Act ».

2. Placer le droit français comme aiguillon du droit européen

Le Gouvernement a publiquement affirmé le rôle d’aiguillon du projet de loi visant à sécuriser et réguler l'espace numérique dans les négociations européennes en cours. À titre d’exemple, l’article 7 du texte prévoit un encadrement national et spécifique à l’octroi de crédits cloud, ces avoirs commerciaux aux effets anti-concurrentiels qui conduisent les jeunes entreprises à dépendre excessivement de certains fournisseurs dominants.

Si votre rapporteure ne remet pas en cause l’intérêt d’encadrer de telles pratiques ([43]), elle alerte toutefois sur le risque de contrariété prématurée des dispositions d’anticipation ou de « pré-transposition » avec le droit de l’Union. La proposition de règlement sur les données (Data Act), qui vise justement à lever les principales barrières au recours à des services de cloud concurrents, a fait l’objet d’un accord entre le Parlement et le Conseil en juin 2023 ([44]). Le compromis trouvé est postérieur à la présentation du projet de loi par le Gouvernement. Or l’accord sur le Data Act est moins ambitieux que le texte français et ne comporte pas de dispositions sur l’encadrement des crédits cloud, créant un risque « natif » de non-conformité. L’article 7 du projet de loi est par conséquent susceptible d’être largement remanié à l’Assemblée nationale pour tenir compte du compromis final sur le Data Act.

La France ne doit pas renoncer à influencer les évolutions de la législation européenne lorsque celles-ci sont nécessaires ou que ses intérêts fondamentaux sont menacés. C’est précisément l’intérêt des discussions menées au sein du Conseil. À l’inverse, votre rapporteure estime que les impératifs de qualité et de prévisibilité du droit impliquent de s’abstenir, le cas échéant, de miser prématurément sur des évolutions favorables du droit de l’Union lorsque celui-ci est modifié concomitamment au droit national.

B. CERTAINES dispositions du projet de loi comporteNT un risque important de contRaRiÉtÉ AVEC LE droit de l’Union

1. La notification à la Commission des dispositions du projet de loi susceptibles de constituer une entrave à la libre circulation des services numériques

Le Gouvernement a notifié, le 7 juin 2023, certains articles du projet de loi initial à la Commission européenne. Les dispositions jugées critiques du texte issu du Sénat ont été notifiées le 24 juillet 2023. La procédure de notification est prévue par deux directives européennes afin de prévenir la création de nouveaux obstacles aux échanges. D’une part, la directive 2015/1035 ([45]) sur la transparence du marché numérique impose la notification à la Commission européenne des projets de réglementations nationales prévoyant des règles techniques sur les produits et sur les services de la société de l’information. D’autre part, la directive e-commerce de 2000 impose la notification à la Commission européenne des mesures nationales susceptibles de restreindre la libre circulation des services de la société de l'information en provenance d'un autre État membre.

Votre rapporteure relève que les dispositions majeures du projet de loi tel que modifié par le Sénat ont été notifiées à la Commission européenne, en particulier :

- tous les articles définissant des dispositions techniques à l’égard des services de la société de l’information, dont les articles 1er et 2 renforçant les pouvoirs de l’Arcom en matière de restriction d’accès des mineurs aux sites pornographiques ;

- tous les articles de pré-transposition du Data Act, dont les articles 7 à 10 portant sur le renforcement de la concurrence sur le marché de l’informatique en nuage.

Les autorités françaises ont opté en faveur d’un champ large de notification afin de « favoriser toute la transparence et la coopération avec les services de la Commission européenne » ([46]).

Votre rapporteure salue cette démarche bienvenue, mais regrette que le calendrier d’examen du projet de loi ne permette pas aux parlementaires d’appréhender pleinement les risques de non-conformité au droit de l’Union. Le Parlement ne devrait certes pas adopter définitivement le projet de loi avant le terme de la période de statu quo (standstill) de trois mois à partir de la notification. En application de l’article 6 de la directive 2015/1035, la France ne peut en effet pas adopter les règles techniques en question avant l’expiration de ce délai. Or la réponse de la Commission à la notification française, susceptible d’aboutir à des observations ou à un avis circonstancié dont la France devra tenir compte, ne sera pas publiée avant le 25 octobre 2023. Le législateur français gagnerait à bénéficier de l’ensemble des informations lui permettant d’apprécier, dans un cadre européen, l’opportunité et la faisabilité des dispositions envisagées. Force est de constater que les risques juridiques liés au projet de loi ont été sous-estimés, notamment par l’analyse d’impact annexée au texte.

2. Un risque sous-estimé de non-conformité au droit de l’Union

Votre rapporteure n’a pas connaissance du contenu des échanges informels entre les autorités françaises et les services de la Commission, ni à plus forte raison de la position finale de la Commission. Les diverses auditions ont toutefois permis d’identifier plusieurs points de vigilance, auxquels il conviendrait d’apporter une réponse lors de l’examen du projet de loi à l’Assemblée nationale.

À cet égard, votre rapporteure signale les risques associés à l’article 25 du projet de loi, qui modifie la LCN pour désigner la DGCCRF comme l’une des autorités chargées de la mise en œuvre du DSA en coopération avec l’Arcom et la CNIL. La DGCCRF est l’autorité administrative du ministère de l’Économie et des Finances responsable de la conception et de l’application de la politique de protection des consommateurs. Or le considérant 112 du DSA précise que les autorités compétentes désignées au titre du règlement devront « agir en toute indépendance par rapport aux organismes privés et publics, sans obligation ni possibilité de solliciter ou de recevoir des instructions, y compris du gouvernement ». La désignation de la DGCCRF, service sous l’autorité du ministre de l’Économie et des Finances, ne semble pas satisfaire à ces exigences d’indépendance.

L’Autorité de la concurrence est aujourd’hui la seule autorité administrative indépendante ayant pour mission, au moins indirectement, la protection économique des consommateurs. Toutefois, elle ne semble pas en mesure de se substituer intégralement à la DGCCRF, qui dispose d’autres compétences importantes – dont la lutte contre les pratiques commerciales trompeuses qui constituent désormais des contenus illicites selon le DSA. Votre rapporteure constate que d’autres États membres se sont dotés d’agences indépendantes responsables de la protection des consommateurs, telles que l’Agence nationale des consommateurs en Irlande. L’opportunité de créer une autorité administrative indépendante chargée de la protection des consommateurs pourrait être examinée, en considérant notamment sa contribution à la conformité au DSA du dispositif français de mise en œuvre du règlement. À défaut, il pourrait être envisagé de confier à l’Arcom, coordinateur national pour les services numériques, les missions et les ressources nécessaires à la mise en œuvre des dispositions du DSA relatives à la protection des consommateurs.

Proposition n° 7

Évaluer l’intérêt de créer en France une autorité administrative indépendante chargée de la protection des consommateurs, afin notamment d’assurer la bonne mise en œuvre du DSA sur le territoire national (autorités françaises).

II. les objectifs du projet de loi gagneraient À s’inscrire plus fermement dans une dynamique europÉenne

Votre rapporteure a privilégié un examen sélectif de trois dispositions de nature législative ayant une forte dimension européenne.

A. la protection des mineurs en ligne

Le projet de loi comprend un volet important consacré à la protection des mineurs en ligne face aux risques psychologiques et psychopathologiques graves liés à l’exposition des enfants et des adolescents à la pornographie. L’article 1er charge l’Arcom d’établir, après avis de la CNIL, un référentiel obligatoire pour les systèmes de vérification d’âge des sites pornographiques. Ce référentiel est davantage contraignant que « les lignes directrices » prévues par l’article 23 de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales et le décret n° 2021-1306 du 7 octobre 2021 en vigueur, auxquelles il se substituerait. L’article 2 crée une procédure de blocage administratif à l’encontre des éditeurs de sites pornographiques qui ne mettraient pas en œuvre un système de vérification de l’âge robuste.

Votre rapporteure se félicite de la future mise en place d’un dispositif du contrôle de l’âge des utilisateurs, qui ne doivent plus pouvoir se contenter d’une réponse positive à la simple question « Avez-vous plus de 18 ans ? » pour accéder à un site pornographique. Les auditions menées par votre rapporteure et conduites par la commission spéciale ont souligné les obstacles techniques au déploiement d’un dispositif de contrôle de l’âge, auquel le Royaume-Uni et l’Australie ont successivement renoncé. Les solutions proposées aujourd’hui peuvent facilement être contournées par l’usage d’un réseau virtuel privé (VPN) localisant l’internaute dans un pays qui ne demande pas une vérification de l’âge de cet ordre.

Ces difficultés ne doivent toutefois pas conduire les pouvoirs publics à renoncer à la protection des mineurs en ligne. Votre rapporteure se félicite que la CNIL et les services de l’État, tels que le Pôle d’expertise de la régulation numérique (PEReN) ([47]), aient engagé des travaux importants sur la vérification de l’âge des mineurs. La protection des données est compatible avec la protection des mineurs et le RGPD n’interdit aucunement un dispositif de contrôle de l’âge ([48]). La CNIL estime que plusieurs dispositifs de contrôle d’âge sont d’ores et déjà conformes à la RGDP, tels que le paiement en carte bancaire et l’estimation de l’âge sur la base d’une analyse faciale – sans reconnaissance faciale ([49]). Ces solutions techniques peuvent être envisagées même en l’absence d’un système de double anonymat, qui assure qu’aucune partie n’a accès à la fois aux données de vérification et aux données de navigation. En tout état de cause, il conviendrait de notifier le référentiel technique à la Commission et de le soumettre à une consultation publique préalablement à sa publication. Ces consultations renforceraient la sécurité juridique du dispositif et permettraient de recueillir les observations de l’ensemble des parties prenantes, dont les éditeurs et prestataires de solutions techniques de vérification d’âge.

Solutions de vérification de l’âge et partage de bonnes pratiques

Dans le cadre du Groupe européen des régulateurs des services de médias audiovisuels (ERGA), l’Arcom coopère avec d’autres régulateurs des pays dans lesquels certains services problématiques sont établis par l’échange d’informations ou d’éventuelles demandes d’assistance. En 2023, l’Arcom coordonne dans le cadre de l’ERGA une étude concernant les différents approches et solutions retenues dans les différents États membres.

Il existe par ailleurs un groupe de travail international informel réunissant notamment plusieurs régulateurs européens, dont l’Arcom, pour échanger des informations sur les problématiques de protection des mineurs en ligne et de vérification de l’âge, ainsi que sur l’état des dossiers en cours. Participent à ce groupe les homologues britannique, allemand, chypriote et belge de l’Arcom. Il a vocation à s’étendre à d’autres régulateurs principalement européens.

Source : réponses écrites de l’Arcom.

Le DSA n’encadre pas suffisamment l’accès des mineurs aux sites pornographiques, dont les contenus hébergés et diffusés ne sont pas illicites par nature. Le texte vise non pas les éditeurs de sites pornographiques, mais les fournisseurs de services d’hébergement, dont les plateformes en ligne. Ces dernières sont soumises à une obligation générale de « protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service » (article 28). La Commission envisage toutefois de désigner plusieurs sites pornographiques susceptibles d’avoir minoré leur nombre d’utilisateurs, dont PornHub, comme très grandes plateformes en lignes. Les sites concernés seraient assujettis à des règles supplémentaires d’évaluation et d’atténuation des risques systématiques. Les mesures d’atténuation peuvent porter sur la vérification de l’âge et les outils de contrôle parental aux termes de l’article 35 du DSA.

Par conséquent, le périmètre des acteurs concernés est trop restrictif. Votre rapporteure estime que l’effectivité du dispositif français de contrôle de l’âge et sa conformité au droit de l’Union seraient renforcées par l’adoption de dispositions similaires au niveau européen. Il est regrettable que le compromis envisagé par le Conseil sur la proposition de règlement visant à prévenir et à combattre les abus sexuels commis contre des enfants, dit CSAM, se contente de limiter la vérification de l’âge aux sites susceptibles d’être utilisés aux fins d’abus sexuels contre les enfants. Le Parlement européen gagnerait, en prévision des trilogues, à intégrer plus largement les enjeux de responsabilisation des éditeurs de sites pornographiques dans le texte. La base juridique de la proposition de règlement, l’article 114 du TFUE relatif à l’approfondissement du fonctionnement du marché intérieur, ne fait pas obstacle à ce que les dispositions du texte dépassent la lutte contre la pédopornographie et la sollicitation d’enfants, appelée « pédopiégeage ».

Proposition n° 8

Intégrer l’obligation de vérification de l’âge des utilisateurs des sites pornographiques dans la proposition de règlement visant à prévenir et à combattre les abus sexuels commis contre des enfants, en rappelant la nécessité de prévoir un dispositif non-discriminatoire et respectueux de la vie privée (modification la proposition de règlement visant à prévenir et à combattre les abus sexuels commis contre des enfants).

B. La lutte contre la dÉsinformation en ligne

Le Sénat a maintenu dans le droit français l’obligation, pour les plateformes en ligne, de mettre en place un dispositif de signalement des fausses informations. Le projet de loi initial prévoyait notamment d’abroger l’article 11 de loi dite Infox du 22 décembre 2018 ([50]), qui impose aux opérateurs concernés de prendre des mesures pour lutter contre les fausses informations susceptibles de troubler l’ordre public ou d’altérer la sincérité d’un scrutin. Cette abrogation était justifiée, selon le Gouvernement, par la redondance de la loi dite Infox avec les dispositions du DSA en matière de lutte contre la désinformation. Votre rapporteure salue la vigilance du Sénat, qui a relevé à juste titre que les fausses informations ne relevaient pas du champ des « contenus illicites » soumis aux mécanismes de notification et d’action prévus à l’article 16 du DSA. La responsabilité limitée des hébergeurs ne peut ainsi être engagée du fait de leur manque de diligence pour traiter les signalements de fausses informations.

Votre rapporteure, tout en reconnaissant les graves conséquences de la désinformation sur la qualité du débat public, alerte toutefois sur la difficulté d’assimiler des contenus inexacts à des contenus illicites. La distinction opérée par le DSA entre les contenus illicites et les contenus préjudiciables est en ce sens pertinente.

L’Union n’est pas inactive dans la lutte contre la désinformation. En effet, les fausses informations sont bien couvertes par l’obligation d’évaluation et d’atténuation des risques systémiques faite aux grandes plateformes (articles 34 et 35 du DSA). Elle vise, au-delà des contenus illicites, les contenus préjudiciables tels que la désinformation et les pratiques de manipulations intentionnelles – via, par exemple, la création de « bots ». Les très grands acteurs numériques sont tenus de prendre les mesures nécessaires pour atténuer les risques systémiques identifiés, tels que l’adaptation des systèmes algorithmiques ou renforcement des ressources internes chargées de la modération. Les acteurs peuvent également renforcer les mesures de sensibilisation du public sur l’interface du service, mesure recommandée « en particulier lorsque les risques sont liés à des campagnes de désinformation » (considérant 88 du DSA).

Les dispositions du Code européen renforcé de bonnes pratiques contre la désinformation du 16 juin 2022 ont vocation à compléter la palette d’outils d’atténuation des risques en vertu de l’article 45 du DSA. Par exemple l’engagement 23 de ce code prévoit la mise en place d’un dispositif de signalement relatif aux informations fausses et/ou préjudiciables (« harmful false and/or misleading information »). Il est regrettable que le réseau X se soit retiré du code de bonnes pratiques en mai 2023, arguant de son caractère redondant à l’égard du DSA et du modèle singulier de lutte contre la désinformation de l’entreprise. Le réseau déploie depuis décembre 2022 des « Community Notes », qui permettent aux internautes d’évaluer et de contextualiser un tweet selon une approche communautaire. Or ce système donne lieu à des décisions de modération tardives et faiblement harmonisées.

C. La lutte contre les appels À la violence sur les rÉseaux sociaux

1. Des dispositifs nationaux robustes, dont l’efficacité ne doit pas être sous-estimée

Les émeutes survenues en France en juin et en juillet 2023 à la suite de la mort, dans des circonstances dramatiques, de Nahel M. ont souligné l’effet amplificateur des réseaux sociaux. Ces plateformes peuvent jouer un rôle direct ou indirect dans la propagation de troubles graves à l’ordre public, par exemple en diffusant des appels à la violence ou à la haine en ligne.

Les autorités politiques françaises tentent depuis lors de limiter le rôle des réseaux sociaux dans les dynamiques émeutières. Le Président de la République a appelé, le 24 juillet 2023, à « trouver un ordre public numérique » face aux dérives constatées et le Gouvernement a mis en place un groupe de travail transpartisan en ce sens, auquel votre rapporteure a participé.

Sans méconnaître l’importance des réseaux sociaux dans la promotion de la viralité des contenus illicites, votre rapporteure appelle à ne pas dramatiser la responsabilité des plateformes en ligne lors de ces évènements.

D’une part, il existe bien un « ordre public qui s’applique au numérique », tel que l’a rappelé M. Jean-Marie Burguburu, président de la CNCDH, lors de son audition. Les forces de l’ordre et l’autorité judiciaire parviennent à combattre le sentiment d’impunité en ligne, comme en témoignent les nombreuses interpellations et condamnations d’internautes à l’origine de provocations directes à commettre des crimes et des délits. Les forces de l’ordre et les réseaux sociaux gagneraient, en cas d’émeutes, à rappeler aux internautes le cadre juridique applicable à ces infractions et le risque pénal associé.

D’autre part, les autorités françaises et les plateformes ont coopéré efficacement pour lutter contre les appels à la violence et à la haine en ligne lors des émeutes. Interrogé en ce sens par votre rapporteure, le réseau X France a présenté les statistiques suivantes pour la période du 27 juin au 5 juillet 2023, correspondant aux premiers jours d’émeutes :

- 35 réponses favorables sur 39 demandes d’information de la part des forces de l’ordre sur des comptes d’internautes ;

- 95 réponses favorables sur 318 demandes de suppression de contenus, dont 71 suppressions en violation des CGU d’X et 24 suppressions en violation de la LCN – 165 décisions de non-violation ont été rendues par X, et 58 demandes étaient encore en cours d’instruction au terme de la période considérée ;

- suppression d’environ 40 comptes ;

- labellisation de 84 médias « synthétiques et manipulés », formés à partir de deepfakes ou d’intelligence artificielle générative.

2. La contribution du DSA à la lutte contre les troubles à l’ordre public, une portée à préciser

Le DSA ne traite pas spécifiquement des effets négatifs de certains mésusages numériques sur la sécurité et l’ordre publics, tout en prévoyant plusieurs dispositifs utiles à la maîtrise de ces risques.

De manière générale, le DSA harmonise les règles à l’échelle européenne pour renforcer les moyens collectifs de lutte contre la diffusion de contenus illicites. À ce titre, les discours haineux en ligne, tels que définis en droit national au par l’article 6 de la LCEN, relèvent des contenus illicites susceptibles d’être couverts par le règlement. À titre d’exemple, il pourrait s’agir, parmi l’ensemble des infractions réprimées en France, des faits de provocation directe et publique à la commission d’atteintes volontaires à la vie ou à l’intégrité physique de tiers, visés à l’article 24 de la loi du 29 juillet 1881 sur la liberté de la presse.

Les très grandes plateformes et les très grands moteurs de recherche doivent également évaluer les risques systémiques liés à l’utilisation de leurs services, notamment « sur le discours civique, les processus électoraux et la sécurité publique » (article 34). La Commission peut également élaborer des protocoles de crise volontaires aux termes de l’article 48. Les plateformes participantes devront désigner un point de contact spécifique pour la gestion de la crise et adapter les ressources dédiées au respect de certaines obligations, dont le traitement des signalements prévus à l’article 16.

À l’inverse, votre rapporteure estime que le mécanisme de réaction aux crises prévu à l’article 36 est inapplicable aux émeutes ponctuelles et localisées sur tout ou partie du territoire d’un État membre. La qualification de la crise au sens du DSA renvoie à l’existence de « circonstances extraordinaires entraînent une menace grave pour la sécurité publique ou la santé publique dans l’Union ou dans des parties importantes de l’Union ». Ces conditions sont manifestement réunies dans les cas de l’agression russe contre l’Ukraine ou de la pandémie de la Covid-19, mais sont inopérantes pour les émeutes urbaines de l’été 2023 en France.

Enfin, votre rapporteure la Commission à clarifier la doctrine de désignation des grandes plateformes en ligne, susceptibles de jouer un rôle amplificateur en cas d’émeutes. La France a sollicité la Commission afin d’obtenir des précisions sur la qualification de certains services d’hébergement, tels que les canaux de discussion de la messagerie Telegram, en plateformes en ligne au sens du DSA. Votre rapporteure soutient cette démarche. Une incertitude réside en effet dans la portée de la notion de « diffusion au public », qui implique selon le considérant 14 du DSA « la mise à disposition de l’information à un nombre potentiellement illimité de personnes, c’est-à-dire le fait de rendre l’information facilement accessible aux destinataires du service en général sans que le destinataire du service ayant fourni l’information ait à intervenir, que ces personnes aient ou non effectivement accès à l’information en question ». Or c’est précisément le cas des boucles « publiques » de l’application Telegram, qui rassemblent parfois plusieurs milliers voire dizaines de milliers de personnes et peuvent être utilisées à des fins délictuelles. Elles facilitent par exemple la planification et la coordination de mouvements émeutiers. La qualification de services de messagerie publics aux boucles ouvertes, tels que Telegram, comme plateformes en ligne soumettrait ceux-ci à des obligations de diligence supplémentaires par rapport aux simples fournisseurs de services d’hébergement.

La Commission gagnerait à préciser rapidement les implications des catégories d’acteurs et des définitions susceptibles d’influencer la lutte contre les appels à la violence en ligne. Ces éléments de doctrine supplémentaires favoriseraient l’interprétation conforme du DSA.

Conclusion

Le projet de loi visant à sécuriser et réguler l’espace numérique est un texte ambitieux, qui témoigne de la volonté des autorités françaises d’être, sur le territoire national, à la hauteur des ambitions portées lors de la PFUE. Or cette exigence légitime implique nécessité d’éviter deux écueils opposés.

D’une part, la France ne doit pas être passive et attentiste à l’égard du DSA et du DMA, en estimant que les réglementations sont absolument satisfaisantes et ne nécessitent aucune amélioration. Le DSA et le DMA entrent désormais dans une phase opérationnelle de mise en œuvre, dont les défaillances et les insuffisances devront être rapidement identifiées et corrigées.

D’autre part, la France ne doit pas légiférer de manière aveugle, à l’encontre de règlements d’application directe adoptés spécifiquement afin de prévenir la fragmentation du marché unique numérique.

Dans ce contexte, votre rapporteur formule huit propositions pour approfondir les efforts engagés et assurer la conformité du droit français au droit de l’Union.

— 1 —

TRAVAUX DE LA COMMISSION

La Commission s’est réunie le 19 septembre 2023, sous la présidence de M. Pieyre‑Alexandre Anglade, Président, pour examiner le présent rapport d’information.

Mme Marietta Karamanli, rapporteure. C’est avec plaisir que je vous retrouve aujourd’hui pour la réunion de rentrée de notre commission. Cet exercice nous permet d’apporter, en commission et en séance, un éclairage européen à nos collègues. Le projet de loi visant à sécuriser et réguler l’espace numérique a été adopté en première lecture par le Sénat au mois de juillet. Il sera examiné aujourd’hui à partir de 15 heures en commission spéciale. Ce rapport pour observations me permet, en premier lieu, de revenir sur deux textes européens majeurs, la législation sur les services numériques – le DSA – et la législation sur les marchés numériques – le DMA. La France a joué un rôle important dans leur adoption, puis ils ont fait l’objet d’un accord entre les colégislateurs sous présidence française du Conseil. Le projet de loi qui nous est présenté comporte les mesures nécessaires d’adaptation du droit français au nouveau droit de l’Union – mais pas uniquement, j’y reviendrai dans mon propos.

Le DSA et le DMA marquent la volonté de l’Union Européenne de contrer la toute puissance des grands acteurs, majoritairement extra-européens, qui dominent l’économie numérique et qui échouent – ou rechignent – à mettre un terme aux dérives en ligne de certains internautes.

Ces règlements seront‑ils suffisants pour remettre de l’ordre dans le « Far West numérique » ? Il est trop tôt pour le dire avec certitude, mais force est de constater que l’Union s’est dotée des outils appropriés pour y parvenir. L’approche européenne est la bonne : privilégier une régulation ex ante et asymétrique, c’est-à-dire proportionnée à la taille des acteurs. Les très grands fournisseurs de services numériques se voient imposer des obligations et des interdictions supplémentaires.

Le DSA et le DMA entrent tout juste en application. Les acteurs concernés, qu’ils s’agissent des autorités régulatrices ou des plateformes régulées, l’ont répété à plusieurs reprises lors des auditions : ils sont concentrés sur la phase de mise en œuvre opérationnelle pour s’assurer du respect des règlements. Je suis consciente de ces exigences de court terme, d’ores et déjà perfectibles, mais elles ne doivent pas nous empêcher de voir plus loin et de dessiner de premières pistes d’amélioration. C’est le sens de ce rapport portant observations.

En premier lieu, la DSA poursuit un objectif d’apparence simple, mais
ô combien complexe en pratique : rendre illégal en ligne ce qui est illégal hors ligne. Le texte oblige les fournisseurs à prendre des mesures supplémentaires pour lutter contre les contenus illicites et préjudiciables, qu’il s’agisse de la haine en ligne, de la pédopornographie ou de la désinformation.

L’architecture de mise en œuvre du DSA repose sur deux étages complémentaires.

- À l’étage du haut, la Commission européenne régule directement les très grandes plateformes et les très grands moteurs de recherche. Ces acteurs sont soumis à des obligations de diligence supplémentaires par rapport aux simples fournisseurs d’hébergement. Ils doivent par exemple engager un travail rigoureux d’évaluation et d’atténuation de quatre risques systémiques. La Commission européenne a désigné, en avril 2023, 17 plateformes et 2 moteurs de recherche comme relevant de ces catégories. Nous y retrouvons les « usual suspects », les suspects habituels comme Facebook, TikTok et X (anciennement Twitter), mais également des places de marché telles qu’Amazon et Zalando et d’autres.

- À l’étage du bas, les régulateurs des États membres gardent la main sur les fournisseurs de services numériques qui, d’une part, ont leur établissement principal sur le territoire national et qui, d’autre part, ne sont pas directement contrôlés par la Commission. Il y a une séparation des secteurs. Chaque pays devra nommer un coordinateur pour les services numériques, chargé de veiller à la bonne articulation des organismes nationaux compétents. Le projet de loi prévoit à juste titre de désigner l’Arcom, que nous avons auditionné, qui devra se coordonner avec la CNIL et la DGCCRF, responsables respectivement des volets « données personnelles » et « protection des consommateurs » du DSA.

L’une des forces du DSA réside dans sa capacité de dissuasion. Les coordinateurs nationaux et la Commission peuvent infliger des amendes à concurrence de 6 % du chiffre d’affaires mondial d’une entreprise. À titre d’exemple, X a généré un peu plus de 4 milliards de dollars l’année dernière : une amende de 240 millions de dollars ne serait pas anodine, alors que l’entreprise n’est aujourd’hui pas rentable. En cas de manquements répétés, la Commission pourra également ordonner une mesure temporaire de restriction d’accès aux services fournis par l’entreprise.

Le DSA apporte bien une contribution décisive à la lutte contre les contenus illicites, dont la haine en ligne. Une clause de réexamen figure dans le texte à l’horizon 2027. Je recommande d’engager le travail d’évaluation en amont, pour identifier les marges de progrès. Je pense notamment à la nécessité de créer un régime de responsabilité spécifique aux plateformes en ligne, pour que celles-ci ne soient plus considérées comme de simples hébergeurs. Cette exception au régime de responsabilité limitée est justifiée au regard du rôle majeur joué par les algorithmes dans le traitement de l’information.

En second lieu, le DMA vise à renforcer la contestabilité des positions dominantes acquises par les géants du numérique. Plusieurs travaux menés par notre commission lors de la précédente législature ont révélé que le droit de la concurrence traditionnel n’était pas en mesure de prévenir et de sanctionner le fonctionnement oligopolistique de ces marchés. Le texte crée le statut de « contrôleur d’accès », c’est-à-dire une entreprise de taille importante fournissant un service numérique essentiel. La Commission a désigné au début du mois une première liste de 6 contrôleurs d’accès, qui devront se conformer à leurs obligations d’ici au 6 mars 2024 : parmi celles-ci, l’interdiction pour une entreprise de privilégier ses propres services sur les produits qu’elle vend. Demain, les consommateurs européens pourront télécharger une application sur leur iPhone sans passer par l’App Store.

Le DMA est un instrument clé pour rééquilibrer les relations entre les plateformes structurantes, leurs concurrents et leurs utilisateurs. De nouveau, il me semble utile de réfléchir à des évolutions à court et moyen termes. D’abord, dans la phase de mise en œuvre qui s’ouvre, je propose que plusieurs États membres saisissent la Commission pour ouvrir une enquête de marché sur le réseau X, aujourd’hui absent de la liste des contrôleurs d’accès malgré sa taille importante et ses effets de réseau. En effet, le DMA prévoit des critères qualitatifs qui permettent de pallier la rigidité des critères quantitatifs, auxquels ne répond pas X à ce stade. C’est désormais à la Commission de s’en saisir pleinement. Ensuite, dans la future phase de réexamen, j’appelle à mieux associer les représentants de la société civile, dont les organisations de consommateurs, aux procédures d’enquête et de contrôle du DMA. La régulation des grandes plateformes doit être transparente et ouverte, au risque de se limiter à un face-à-face opaque entre le régulateur et le régulé.

Je conclurai mon intervention en m’intéressant directement aux dispositions du projet de loi SREN. Je partage pleinement les objectifs du texte, qui sont légitimes et doivent permettre à la France de se conformer à ses engagements européens. Je salue notamment la désignation future de l’Arcom comme coordinateur national pour la France. Il s’agira de l’une des premières autorités nommées en Europe, après la Commission des médias en Irlande en mars dernier.

Je souhaite toutefois signaler trois points de vigilance, qui gagneraient à être traités dans le cadre de l’examen du projet de loi et à guider nos pratiques à l’avenir.

Tout d’abord, la volonté du Gouvernement de « pré-transposer » les textes européens en cours de discussion afin d’aiguillonner les négociations me semble interrogeable et contestable. Il est important que la France fasse valoir ses intérêts, c’est tout l’objet des échanges au Conseil. En revanche, la pratique de la pré-transposition créée un risque d’incompatibilité « native » ou prématurée. À vouloir tordre le bras de ses partenaires, la France se retrouve avec le bras tordu. J’appelle à faire preuve de prudence. J’en veux pour preuve l’encadrement des crédits cloud qui figure dans le projet de loi déposé en mai, mais qui a été écarté du compromis trouvé par l’Union sur le Data Act en juin. La France n’a d’autre choix que de remanier largement ces mesures, au détriment des impératifs de qualité et de prévisibilité du droit.

Ensuite, plus gravement peut-être, certaines dispositions du projet de loi présentent un risque significatif de contrariété avec le droit de l’Union. Les représentants de la Commission nous ont alertés sur l’opportunité contestable de sur-légiférer en matière de régulation numérique, alors que le DSA et le DMA viennent d’être adoptés. Je ne partage pas nécessairement cette observation, mais je constate que des exigences a priori simples et prévues par ces textes ne sont pas respectées par le projet de loi. Le Gouvernement propose par exemple de nommer la DGCCRF parmi les autorités nationales compétentes, alors même que le considérant 112 du DSA précise que les entités désignées doivent « agir en toute indépendance » et ne pas « recevoir d’instructions, y compris du Gouvernement ». Vous en conviendrez, la DGGCRF est un service de Bercy relevant de l’autorité de son ministre de tutelle.

Enfin, j’appelle à renforcer la dynamique convergente des droits français et européen. La lutte contre les appels à la violence sur les réseaux sociaux est l’une des politiques propices à ce travail. Le projet de loi SREN a été débattu au Sénat dans le contexte des émeutes consécutives à la mort dramatique d’un adolescent. Un amendement y a ainsi été déposé pour permettre à l’autorité administrative de formuler une injonction de retrait de contenu sur les réseaux sociaux. Le Gouvernement a obtenu le retrait de cet amendement et mis en place un groupe de travail transpartisan, auquel j’ai participé, pour affiner ces questions.

Sans préjuger des propositions qui seront formulées par nos collègues, il me semble indispensable de rappeler que le DSA renforce nos moyens d’action pour lutter contre les contenus illicites, dont l’incitation à la haine et à la violence. Le texte fixe notamment des règles harmonisées pour améliorer l’efficacité des mécanismes « de signalement et de retrait » des plateformes.

La Commission doit encore davantage accompagner les États membres sur le sujet, c’est d’ailleurs ce que nous proposons à la fin du rapport. Je soutiens la démarche de la France, qui a demandé des clarifications sur le statut de certains services de messagerie proposant des canaux de discussion ouverts, tels que Telegram. Ces hébergeurs ont joué un rôle propagateur lors des émeutes de l’État. Ils pourraient être qualifiés de très grandes plateformes et donc être soumis à des obligations de diligence supplémentaires.

Enfin, j’ai exprimé dans le projet de rapport le regret que la négociation et l’adoption de textes européens aussi structurants pour l’avenir de nos concitoyens se déroulent à l’écart des parlements nationaux. Certes, la procédure européenne y a sa part. Mais dans d’autres États, comme l’Allemagne, les échanges entre Gouvernement et Parlement sur d’importants sujets sont débattus plus ouvertement et les propositions plus partagées entre institutions. Une observation de même type pourra être faite dans le cadre de nos réflexions sur l’évolution des règles budgétaires européennes.

Voilà, brièvement, les quelques réflexions que je souhaitais partager avec vous à ce stade avant l’ouverture de l’examen du texte en commission spéciale. Je me réjouis que nous puissions débattre ensemble des enjeux de régulation numérique, près d’un an après l’adoption formelle du DSA et du DMA. Il me semble essentiel de pouvoir poursuivre l’évolution de ces textes et leur application dans les différents État, y compris chez nous.

L’exposé de la rapporteure a été suivi d’un débat.

M. Denis Masseglia (RE). Je tiens à souligner la qualité du travail de Mme la rapporteure sur ce projet de loi qui est ô combien important et ô combien attendu. Ce projet de loi est effectivement important puisqu’il nous permet, à nous parlementaires, de nous emparer pleinement de la sécurisation de l’espace numérique. L’enjeu est de mieux protéger nos concitoyens, nos entreprises, nos enfants et notre démocratie. Ce projet de loi est attendu parce qu’il vient enfin retranscrire dans le droit français, des décisions prises collectivement à l’échelle européenne durant la présidence française du Conseil de l’Union Européenne avec un engagement important du président Emmanuel Macron. Le DSA et le DMA visent avant tout à protéger les Européens lorsqu’ils sont sur internet et à construire un marché unique dans lequel on donne aux entreprises locales, l’opportunité d’être compétitives. Je tiens à souligner qu’il est indispensable que ces deux règlements soient mis en œuvre de façon homogène sur l’ensemble du territoire européen. Le temps de préparation de l’examen de ce texte a été extrêmement contraint
et je regrette que peu d’entreprises, ni aucun représentant des usagers, n’aient été auditionnés. Le sujet numérique étant un sujet porté à l’échelle européenne, peut‑être que notre commission pourrait mettre en place de façon transpartisane, une veille sur ces sujets.

M. Thibault François (RN). Ce rapport d’information soulève de nombreux enjeux juridiques et sociétaux liés à l’omniprésence du numérique dans la vie de chacun. J’aimerais revenir sur quelques points précis, afin que la position du Gouvernement et de la majorité puisse être clarifiée.

Tout d’abord, la question du respect de leurs engagements par les grandes plateformes en ligne, également appelées Very large online platforms (VLOP),
est à la racine du projet de loi. La troisième proposition du rapport suggère de procéder à un échange annuel de bonnes pratiques sur les obligations spécifiques des grandes plateformes. Je me demande ce que prévoit exactement le Gouvernement pour garantir la force contraignante de ces bonnes pratiques à l’échelle de l’Union européenne, et pour éviter de créer de nouvelles normes de droit mou sans application concrète.

Plus généralement, l’ordre public numérique dépend de l’effectivité de la réglementation et des sanctions à ses manquements. Il convient d’y porter une attention particulière, et je souhaiterais ainsi obtenir des précisions sur la septième proposition du rapport, tendant à la création d’une autorité administrative indépendante chargée de la protection des consommateurs. Dans la mesure où
il existe déjà 17 autorités administratives indépendantes et 7 autorités publiques indépendantes, ne serait-il pas préférable de créer au sein d’une autorité existante un service dédié à la protection des consommateurs ?

Je reste également perplexe quant aux risques de non-conformité avec
le droit de l’Union – et plus précisément avec le DSA – que vous soulignez à la page 45 du rapport. Puisque la DGCCRF est rattachée au ministère de l’Économie et des Finances, et que les conditions de son indépendance ne sont pas garanties, d’autres autorités telles que l’Arcom ou la Commission nationale de l'informatique et des libertés (CNIL) devraient pouvoir travailler conjointement sur la protection des consommateurs dans le cadre d’un service inter administratif. Si le corps de votre rapport envisage un temps de confier cette mission à l’Arcom, votre septième proposition consiste pourtant en la création d’une nouvelle autorité. S’agit-il de la solution la plus pertinente pour protéger les droits des consommateurs face
à l’ampleur des risques auxquels ils sont confrontés ?

Mme Sophia Chikirou (LFI-NUPES). Ce rapport apporte des compléments instructifs sur les enjeux relatifs à la législation européenne. Je concentrerai mon propos sur la deuxième partie de votre rapport, dans laquelle vous vous inquiétez de la conformité du projet de loi SREN au regard du droit européen. Si certaines de vos recommandations sont pertinentes, quoiqu’un peu timides à mon goût, certaines autres préconisations ne me conviennent absolument pas.

Vous écrivez dans votre rapport que le Gouvernement veut jouer un rôle d’aiguillon avec le projet de loi SREN, en anticipant la réglementation européenne du Data Act. Par exemple, l’article 7 du projet de loi prévoit un encadrement national et spécifique à l’octroi de crédits cloud. Au-delà des risques de contrariété, cette régulation est nécessaire pour protéger notre souveraineté et nos entreprises face, notamment, à l’oligopole des géants américains.

Sur le fond, nous estimons justement qu’il faudrait aller plus loin, en plafonnant les montants des crédits cloud et en étendant la régulation aux particuliers et aux entités publiques. Au sein de la NUPES, nous assumons de vouloir désobéir au droit de l’Union européenne lorsque nos positions vont vers un mieux-disant social et environnemental. Le projet de loi SREN traduit l’impasse dans laquelle se trouve le Gouvernement : qu’adviendra-t-il de l’article 7 du projet de loi SREN si le Data Act se révèle effectivement moins ambitieux ? Il y a fort à parier que cet article serait vidé de sa substance, au milieu des débats parlementaires. L’article 7 n’aura alors été qu’un coup d’épée dans l’eau, une nouvelle opération de communication pour se cacher derrière les décisions de Bruxelles.

Comme vous le rappelez, nous sommes confrontés à la même incertitude pour tous les articles notifiés à la Commission européenne. Le Gouvernement ayant choisi d’engager la procédure accélérée, nous ne recevrons l’avis de la Commission qu’à l’issue des débats parlementaires.

L’efficacité et la proportionnalité des dispositifs souffrent d’un manque de vision. Si le contrôle de l’âge pour l’accès aux sites pornographiques constitue un objectif légitime, les obstacles techniques au déploiement d’un tel dispositif ont conduit le Royaume-Uni et l’Australie à y renoncer. Les dispositions du projet de loi relèvent du « solutionnisme » technologique, au détriment des politiques d’éducation et de prévention, pourtant indispensables.

M. Henri Alfandari (HOR). Dans ce nouveau champ de liberté qu’est le numérique, la loi doit protéger, en particulier les plus vulnérables. Dans cet espace sans frontière, l’action du législateur français seul placerait la France dans une situation d’isolement, voire d’impuissance.

À ce titre, le groupe Horizons et Apparentés salue l’adoption des différents règlements européens, en partie transposés au sein du projet de loi sur le numérique que nous examinerons prochainement.

Ces règlements européens traduisent la puissante volonté de faire de l’Union européenne une terre souveraine en matière numérique, et protectrice des dangers auxquels nos concitoyens sont trop régulièrement exposés. Votre rapport se concentre tout particulièrement sur les règlements DMA et DSA, permettant respectivement d’encadrer les activités économiques des grandes plateformes et de s’attaquer aux contenus et produits illicites en ligne. Un régime de responsabilité est mis en place pour les hébergeurs et les plateformes de contenus. Ces derniers peuvent bénéficier d’une exonération de responsabilité si, dès qu’ils ont connaissance d’une activité ou d’un contenu illégal, ils agissent promptement pour retirer ce contenu et y rendre l’accès impossible.

Vous proposez dans votre rapport d’intégrer la transparence et la neutralité algorithmiques parmi les conditions d’exonération de responsabilité. Je pense que nous pourrions aller plus loin. Si la responsabilité des plateformes de contenus est une chose, il faut aussi rappeler la responsabilité individuelle. Il existe aujourd’hui des initiatives, telles que France Identité ou FranceConnect, qui permettent une meilleure identification des utilisateurs et facilitent leur connexion aux services régaliens. Ne pourrait-on pas imaginer une exonération de responsabilité pour les plateformes et hébergeurs obligeant une identification de l’utilisateur via ces systèmes agrégés ? Ces plateformes seraient alors déchargées d’un contrôle systématique et coûteux vis-à-vis de contenus dont l’origine serait facilement identifiable, et ceci permettrait in fine de protéger la liberté d’expression des utilisateurs.

M. Jean-Luc Warsmann (LIOT). La transposition en droit français des directives européennes et la sécurisation de l’espace numérique sont d’intérêt général. J’apporte donc mon soutien au travail de la rapporteure, qui participe à ces objectifs.

M. Charles Sitzenstuhl (RE). J’aurais trois questions. La première est relative au risque de sur-légiférer. En France, nous nous attachons désormais à ne plus procéder à des sur-transpositions. Pourriez-vous nous donner votre point de vue politique à ce sujet ?

Ensuite, pourriez-vous expliciter votre cinquième recommandation, tendant à établir, à droit constant, une doctrine consistant à faciliter l’ouverture d’enquêtes de marché à la demande des États membres ? En particulier, cette proposition est-elle cantonnée au domaine du numérique, ou pourrait-elle être élargie à l’ensemble de l’économie ? On pense notamment, en matière d’industrie, au sujet des véhicules électriques chinois.

Enfin, j’émets des réserves sur votre septième recommandation, consistant à créer une nouvelle autorité administrative indépendante, alors que leur nombre est sans doute déjà trop élevé. De plus, cette préconisation se rapporte à la protection des consommateurs au sens large, et pourrait être vue comme cavalière.

Mme Constance Le Grip (RE). Je me joins à la suggestion de notre collègue Denis Masséglia, pour que notre commission assure une veille beaucoup plus régulière de l’ensemble des travaux européens menés dans le domaine du numérique, au sens large.

Sous la mandature précédente, au sein de la commission des Affaires européennes, Christine Hennion avait présenté un travail passionnant sur le DMA. J’avais également eu l’honneur, avec ma collègue Aude Bono-Vandorme, de produire un rapport sur le DSA.

Par ailleurs, une future législation européenne sur l’intelligence artificielle est en cours de discussion. J’aurai l’occasion de présenter une communication devant cette commission, sur ce sujet aux enjeux considérables et que l’Union essaie de réguler.

Mme Marietta Karamanli, rapporteure. Je vous remercie pour vos interventions, qui traduisent l’intérêt transpartisan que nous portons sur le sujet du numérique, et sur la manière d’associer les Parlements nationaux aux réflexions menées par les exécutifs et à l’échelle européenne.

Pour répondre à Sophia Chikirou, le DSA étant un règlement, il est directement applicable et prime sur le droit interne comme les autres normes du droit de l’Union. Ensuite, les expériences au Royaume-Uni et en l’Australie ont été évoquées au cours des auditions de même que les difficultés à appliquer les dispositifs de contrôle de l’âge : la France échange avec ces pays afin d’en tirer tous les enseignements.

Je rejoins la demande formulée par Denis Masséglia, tendant à mener un travail de veille sur les sujets du numérique. Par ailleurs, l’ensemble des travaux parlementaires réalisés au cours de la législature ont été convoqués à l’appui de ce rapport. Il est en effet important de s’inscrire dans la continuité des travaux précédents, sans renoncer à une approche critique. En outre, notre commission a désigné des référents chargés du secteur numérique. Nous pourrons donc dans les prochains mois et années surveiller la bonne application du texte. Lors des auditions, la pertinence d’un espace de dialogue pour repérer les limites des législations européennes relatives au numérique, et identifier les dispositions inégalement appliquées dans les États membres, a été soulevée.

Ensuite, la septième recommandation ne saurait être qualifiée de « cavalière ». Si la création d’une autorité autonome indépendante peut être une solution, je précise bien dans mon rapport que l’Arcom peut aussi se saisir de cette compétence.

Concernant la DGCCRF, j’insiste sur l’absence d’autonomie et d’indépendance de ce service, qui est directement lié au Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique. Il nous faut travailler à trouver un système permettant une plus grande indépendance des autorités compétentes, système qui pourrait passer par l’ARCOM. Je pense que des débats sur cette question auront lieu dans l’hémicycle à l’avenir.

Pour répondre à Monsieur Masseglia concernant les auditions, nous avons effectivement essayé d’intégrer la perception des usagers dans le rapport. Ainsi avons-nous auditionné l’UFC que choisir lors d’une table ronde, qui nous a apporté des éléments que je considère incomplets. Nous avons aussi sollicité le Bureau Européen des Unions de Consommateurs (BEUC), qui réunit de nombreux acteurs représentant les usagers et les consommateurs. Ils n’ont malheureusement pas donné suite, du fait des délais très courts dont nous disposions.

Je partage la remarque de Monsieur Alfandari qui propose une utilisation des outils comme FranceConnect. Il me semble qu’il pourrait être mis en place un certain nombre d’expérimentations pour définir la meilleure manière dont ces outils pourraient être utilisés, toujours dans le respect du droit européen. Cette option me paraît envisageable au regard des réflexions menées par le passé, notamment relatives à l’Identité Numérique.

Concernant le choix d’auditionner l’entreprise X, il résulte de notre souhait de ne pas répéter des auditions déjà menées par la commission spécifique. Aussi, le choix de l’audition de X a été motivé par le positionnement de l’entreprise, ses difficultés économiques et son rapport à un certain nombre de réglementations, dont elle s’est retirée.

La commission a ensuite autorisé le dépôt du rapport d’information portant observations en vue de sa publication.

([1]) Article 1er, directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.

([2]) Rapport de Meta sur les résultats financiers du deuxième trimestre 2023, 26 juillet 2023.

([3]) Conseil d’État, Étude annuelle 2022. Les réseaux sociaux : enjeux et opportunités pour la puissance publique, 2022, p. 23.

([4]) Rapport de la mission « Régulation des réseaux sociaux – Expérimentation Facebook », Créer un cadre français de responsabilisation des réseaux sociaux : agir en France avec une ambition européenne, mai 2019, p. 9.

([5]) The Wall Street Journal, « Facebook Knows Instagram is Toxic for Teen Girls, Company Documents Show » 14 septembre 2021,

([6]) CNCDH, Avis sur la lutte contre les discours de haine sur Internet, 12 février 2015.

([7]) Assemblée nationale, résolution européenne n° 165 relative à la proposition de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur les enfants, 7 août 2023.

([8]) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur.

([9]) CJUE, affaire C-360/10, SABAM c/ Netlog NV, 16 février 2012.

([10]) CJUE, affaire C-324/09, L’Oréal SA et al. c/ eBay International AG et al., 12 juillet 2011.

([11]) Section 512 de la loi américaine « Digital Millennium Copyright Act » de 1998.

([12]) Commission européenne, Étude d’impact accompagnant la proposition de règlement du Parlement européen et du Conseil relative à un marché intérieur des services numériques et modifiant la directive 2000/31/CE, SWD(2020) 348 final, décembre 2020, p. 84.

([13]) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne.

([14]) Commission européenne, Émission d’observations prévues à l’article 5, paragraphe 2, de la directive (UE) 2015/1535 du 9 septembre 2015 sur la loi visant à lutter contre les contenus haineux sur internet, C(2019) 8585 final, novembre 2019.

([15]) Conseil constitutionnel, décision n° 2020-801 DC du 18 juin 2020.

([16]) Commission européenne, 7e évaluation de l’application du code de conduite pour la lutte contre les discours haineux illégaux en ligne, novembre 2022.

([17]) Arcom, Lutte contre la diffusion des contenus haineux en ligne. Bilan des moyens mis en œuvre par les plateformes en ligne en 2022 et perspectives, juillet 2023.

([18]) Réponses écrites de la société X France.

([19]) Communication de la Commission au Parlement européen et au Conseil, « Une Europe plus inclusive et plus protectrice : extension de la liste des infractions de l'UE aux discours de haine et aux crimes de haine », COM(2021) 777 final, 9 décembre 2021.

([20]) Rapport d’analyse d’impact accompagnant la proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques (Législation sur les services numériques) et modifiant la directive 2000/31/CE, document de travail des services de la Commission, SWD(2020) 348 final, p. 2.

([21]) Assemblée nationale, Rapport d’information n° 4916 présenté par Mmes Aude Bono-Vandorme et Constance Le Grip, Pour une amélioration de la proposition de règlement concernant la législation sur les services numériques (Digital Services Act), 19 janvier 2022.

([22]) Sénat, Rapport d’information n° 274 présenté par Mmes Florence Blatrix Contat et Catherine Morin-Desailly sur la proposition de législation européenne sur les services numériques (DSA), 8 décembre 2021.

([23]) Service de recherche du Parlement européen, Réforme du régime européen de responsabilité des intermédiaires en ligne. Contexte de la future législation relative aux services numériques, mai 2020.

([24]) Section 230 de la loi américaine « Communications Decency Act » de 1996. La Cour suprême des États-Unis a confirmé le principe de responsabilité limitée des hébergeurs dans deux décisions du 18 mai 2023. Les affaires Gonzalez c/ Google LLC et Twitter, Inc. c/ Taamneh portaient sur la responsabilité desdites plateformes liées à l’hébergement de contenus terroristes et l’effet d’amplification algorithmique.

([25]) Rapport d’information n° 4916 présenté par Mmes Aude Bono-Vandorme et Constance Le Grip, Pour une amélioration de la proposition de règlement concernant la législation sur les services numériques (Digital Services Act).

([26]) Commission IMCO, Rapport de Mme Christel Schaldemose sur la proposition de règlement du Parlement européen et du Conseil relatif à un marché unique des services numériques (législation sur les services numériques) et modifiant la directive 2000/31/CE, 21 décembre 2021.

([27]) L’article 9, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit RGPD, recense un ensemble de catégories dites « particulières » de données à caractère personnel. Sont visées les données qui révèlent « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale », ainsi que le traitement « des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ».

([28]) L’interdiction générale du profilage publicitaire utilisant les données sensibles prévue par le DSA renforce la solution retenue par l’autorité norvégienne de protection des données (Datatilsynet) le 14 juillet 2023. Se fondant sur la jurisprudence de la Cour de justice relative au RGPD (CJUE, 4 juillet 2023, Meta Platforms and Others, affaire C-252/21), l’autorité a interdit sous astreinte à Meta de recourir au ciblage publicitaire utilisant les données sensibles sans recueillir préalablement le consentement valide des utilisateurs.

([29]) Meta, « Continuing to Create Age-Appropriate Ad Experiences for Teens », billet de blog, 10 janvier 2023.

([30]) La commission des affaires européennes de l’Assemblée nationale a adopté en ce sens, le 18 janvier 2023, un avis politique relatif à l’instrument du marché unique pour les situations d’urgence. La notion de crise est définie à l’article 3 de la proposition de règlement correspondante (COM(2022) 459 final) comme « un événement exceptionnel, inattendu et soudain, naturel ou d’origine humaine, de nature et d’ampleur extraordinaires, qui se produit à l’intérieur ou à l’extérieur de l’Union ».

([31]) Élisa Amadieu et al., « Le Digital Markets Act : un nouveau cadre de régulation des grandes plateformes numériques », Les Thémas de la DGE, n° 7, février 2023.

([32]) Affaire Google Android, décision C(2018) 4761 final de la Commission du 18 juillet 2018. Cette décision a été confirmée dans une large mesure par le Tribunal de l’Union le 14 septembre 2022 (Trib., affaire T-604/18 Google et Alphabet/Commission (Google Android), 14 septembre 2022).

([33]) Communication du 12 décembre 1997 de la Commission sur la définition du marché en cause aux fins du droit communautaire de la concurrence (97/C 372 /03).

([34]) Commission européenne, Digital Markets Act Impact Assessment support study, décembre 2020, p. 82. Le surplus du consommateur désigne le gain monétaire tiré de la différence positive entre le prix maximal auquel un consommateur est prêt à payer un bien ou un service et le prix du marché effectivement payé pour l’acquérir.

([35]) Commission européenne, proposition de règlement du Parlement européen et du Conseil établissant un cadre de mesures pour renforcer l’écosystème européen de la production de technologies « zéro net », dit Net Zero Industry Act (NZIA), COM(2023) 161 final, 16 mars 2023.

([36]) L’article 2, paragraphe 2, établit la liste suivante de services de plateforme essentiels : services d’intermédiation en ligne ; moteurs de recherche en ligne ; services de réseaux sociaux en ligne ; services de plateformes de partage de vidéos ; services de communications interpersonnelles non fondés sur la numérotation, tels que les services de messagerie enrichis (WhatsApp, Messenger, etc.) ; systèmes d’exploitation ; navigateurs internet ; assistants virtuels ; services d’informatique en nuage ; certains services de publicité en ligne.

([37]) Courrier adressé par M. Sven Giegold, secrétaire d'Etat au ministère fédéral de l'Économie et de la Protection du Climat, à M. Thierry Breton, commissaire au marché intérieur, 12 décembre 2022.

([38]) Réponses écrites du cabinet de M. Jean-Noël Barrot, ministre délégué auprès du ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, chargé du Numérique.

([39]) Règlement (CE) n° 139/2004 du Conseil du 20 janvier 2004 relatif au contrôle des concentrations entre entreprises.

([40]) Marc Bourreau et Anne Perrot, « Plateformes numériques : réguler avant qu’il ne soit trop tard », note du Conseil d’analyse économique, n° 60, octobre 2020, p. 8.

([41]) Le seuil proposé correspond, à titre indicatif, au nombre d’États membres participants requis pour lancer un projet important d’intérêt européen commun (PIIEC), dispositif dérogatoire au droit des aides d’État.

([42]) BEUC, Digital Markets Act – Position Paper, avril 2021, p. 6.

([43]) L’Autorité de la concurrence a récemment souligné que les crédits cloud proposés sous forme de programmes d’accompagnement créent un risque « de capture des clients au sein d’un seul environnement cloud » et présentent « des effets potentiellement anticoncurrentiels ». Autorité de la concurrence, Avis n° 23-A-05 du 20 avril 2023 concernant le projet de loi visant à sécuriser et réguler l’espace numérique.

([44]) Commission européenne, proposition de règlement fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données (règlement sur les données), COM(2022) 68 final, 23 février 2022.

([45]) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information.

([46]) Réponses écrites du cabinet de M. Jean-Noël Barrot, ministre délégué auprès du ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, chargé du Numérique.

([47]) PEReN, Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ?, Éclairage sur…, n° 4, mai 2022.

([48]) Les données des utilisateurs qui pourraient être collectées sur des sites à caractère pornographique relevant de l’article 9 du RGPD en tant que données dites « sensibles », puisqu’elles concernent « la vie sexuelle ou l’orientation sexuelle d’une personne ».

([49]) L’estimation de l’âge repose sur une analyse faciale n’a pas pour objectif l’identification ou l’authentification de la personne. Cette technique consiste à analyser les traits du visage par un système automatique accédant à la webcam de l’appareil. La marge d’erreur est alors concentrée sur les mineurs et mineurs proches de 18 ans ou les jeunes majeurs.

([50]) Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information.