Europe : la fin du Far West sur le web ?

Cet article a paru dans le n°120 de Politique (septembre 2022).

Le texte, farouchement discuté ces dix-huit derniers mois, est unique au monde et constitue indéniablement une avancée pour éviter que le Net demeure le Far West qu’il est souvent. La Commission européenne se profile comme le shérif européen face aux grandes plateformes comme Facebook (Meta), Twitter ou Amazon. Mais si elle veut faire respecter la loi, elle devra se doter de ressources importantes… et vite.

Dérives et réglementation

Le Digital Services Act (DSA), règlement sur les services numériques en français, est en réalité le second volet d’un paquet législatif présenté en décembre 2020 par la commissaire européenne à la Concurrence, Margrethe Vestager et son homologue au Marché intérieur, Thierry Breton. Le premier volet, le Digital Markets Act (DMA), s’attaque lui aux pratiques anticoncurrentielles sur le web. Il aura pour mission de prévenir les abus de position dominante des géants du numérique. Le DMA a été conclu un mois plus tôt, fin mars.

Le DSA actualise la directive sur l’e-commerce adoptée il y a vingt ans, quand les géants du Net étaient encore des « Petits Poucets ». Mais année après année, la réalité du cyberespace a drôlement évolué… et pas toujours favorablement. Force est de constater que le web est un formidable outil dans des mains bien intentionnées, mais qu’il engendre de nombreuses dérives. Il peut vite devenir un enfer pour les internautes quand le clavier tombe dans de mauvaises mains. Parmi les dérives constatées, se comptent la haine en ligne, les fake news, les contenus illicites, les images pédophiles, la vente d’objets contrefaits, voire les publicités illégalement ciblées.

Les dérapages sont nombreux, à l’instar du cyber­harcèlement dont la journaliste, écrivaine et réalisatrice Myriam Leroy a été victime sur les réseaux sociaux. Ce harcèlement teinté d’insultes sexistes, propos méprisants et atteintes à la vie privée est à l’origine de son roman Les yeux rouges, du documentaire #SalePute… et s’est soldé par la condamnation de son cyberharceleur. Mais quid des plateformes qui ont hébergé ces propos haineux ?

Autres exemples tristement célèbres, la « ligue du LOL » du nom du groupe Facebook créé en 2009 par des journalistes dont certains se livraient à du harcèlement coordonné et groupé, l’assassinat en France du professeur d’histoire Samuel Paty après une campagne de haine, l’assaut du Capitole, en janvier 2021, planifié grâce à Facebook et Twitter, voire la multiplication de produits contrefaits ou défectueux qui peuvent se révéler dangereux, tels des jouets d’enfants ne respectant pas les normes de sécurité ou les produits cosmétiques contenant des doses trop élevées de substances chimiques non conformes. Et, assurément, ce ne sont là que quelques pratiques parmi les plus douteuses que compte le web.

Que prévoit le DSA ?

Le DSA impose aux médias sociaux (Facebook, Instagram, TikTok, etc.) et aux places de marchés (Amazon, Booking, Fnac, etc.) de prendre les mesures adéquates pour protéger leurs utilisateurs contre les contenus, les biens et les services illégaux. Il oblige les plateformes en ligne à retirer « promptement » tout contenu illicite dès qu’elles en prennent connaissance. Le règlement contraint aussi les réseaux sociaux à suspendre les utilisateurs violant « fréquemment » la loi.

Une procédure plus claire de notification et d’action a été définie grâce à laquelle les utilisateurs pourront signaler les contenus illégaux en ligne et les plateformes se devront d’agir rapidement.

Le règlement sur les services numériques s’applique à tous les services intermédiaires fournis aux internautes européens, que le prestataire soit établi ou non dans l’Union européenne. Autrement dit, peu importe qu’une plateforme soit américaine, chinoise, belge ou française. Si elle cible le public européen, elle sera soumise au DSA. Cette logique du pays de destination – et non d’origine – est celle qui prévaut pour le RGPD, le règlement général de protection des données entré en vigueur en 2018.

Point de contact en Europe

Si une plateforme reçoit l’injonction d’agir contre un contenu illicite, elle devra informer les autorités judiciaires ou administratives des mesures qu’elle prend. Ces intermédiaires (réseaux sociaux, places de marché) seront obligés de désigner un point de contact en Europe pour faciliter les échanges avec les autorités européennes et les États membres. Le DSA prévoit par ailleurs que les victimes de cyberviolence seront mieux protégées notamment contre les partages non consensuels (pornodivulgation ou revenge porn). Les places de marché telles Amazon ou eBay devront quant à elles contrôler l’identité de leurs fournisseurs et veiller à ce que les informations fournies par les commerçants sur leurs plateformes soient sûres, en effectuant des contrôles.

Le paquet législatif est dense, à l’image d’Internet et de ses pratiques. Autre preuve si elle était nécessaire, le DSA prône la transparence et s’attaque à la publicité en ligne. La publicité ciblée sur les mineurs ou basée sur des données telles que la religion, le sexe, les opinions politiques ou la race est interdite. Les plateformes devront inscrire le contenu de chaque publicité dans une banque de données, ainsi que l’identité de la personne au nom de laquelle la publicité a été diffusée. Il sera par ailleurs possible de savoir si la publicité est destinée à un ou plusieurs groupes en particulier et les paramètres utilisés.

Un aspect du DSA constitue une avancée importante dans la réglementation d’Internet : la manipulation des utilisateurs via les « schémas sombres » (dark patterns) sera interdite. Ces schémas sombres manipulant les internautes sont largement utilisés aujourd’hui. Il s’agit de ces pop-ups, ces encadrés, apparaissant sur l’écran alors que l’internaute effectue un achat moyennant quelques clics. Ces pop-ups proposent par exemple des tarifs préférentiels liés à la place de marché sur laquelle se trouve l’utilisateur, eBay par exemple, mais qui n’a rien à voir avec l’achat. Le tout est bien visible, écrit en grand, en couleur, etc., pour que l’utilisateur ne passe pas à côté et qu’il clique sur la « bonne » proposition ainsi formulée. Désormais, cette pratique est interdite par le Digital Services Act. De la même manière, résilier un abonnement à un service deviendra plus simple, aussi simple que celui d’en souscrire un… C’est en tout cas ce que promettent les responsables européens.

Obligations pour les très grandes plateformes

Le Digital Services Act distingue les plateformes en fonction de leur taille. Au cœur de la nouvelle législation, on retrouve les très grandes plateformes en ligne. Elles seront soumises à des obligations plus strictes que les plus petites plateformes, en matière de contenu préjudiciable et de désinformation. Les institutions européennes ont estimé « que les obligations devaient être proportionnelles aux risques sociétaux considérables qu’elles représentent lorsqu’elles diffusent des contenus illégaux et préjudiciables, y compris la désinformation », comme on peut le lire sur le site de la Commission européenne. Ces très grandes plateformes devront par ailleurs proposer aux internautes des contenus qui ne sont pas uniquement basés sur le profilage déterminé par leurs algorithmes (au moins une autre option).

La liste précise de ces « très grandes plateformes » – c’est-à-dire celles qui comptent plus de 45 millions d’utilisateurs actifs chaque mois, soit 10 % de la population de l’Union européenne – doit encore être arrêtée. Elle devrait logiquement inclure les Gafam (Google, Apple, Facebook, Amazon & Microsoft), Twitter et TikTok, probablement Booking et d’autres plateformes. Ces très grandes plateformes sont peu ou prou une vingtaine. Pour ces intermédiaires, le règlement sur les services numériques prévoit que les États membres et la Commission européenne auront accès à leurs algorithmes jalousement gardés secrets jusqu’ici.

Des sanctions

Ces différents acteurs seront soumis à un audit in­dépendant une fois par an et placés sous la surveillance de la Commission européenne. Et s’ils ne mettent pas en place les moyens pour retirer les contenus problématiques, ils s’exposeront à des sanctions. Les plateformes et les moteurs de recherche pourront être condamnés à une amende allant jusqu’à 6 % de leur chiffre d’affaires mondial, ce qui est loin d’être une répression de pacotille quand on sait que le chiffre d’affaires de Facebook s’élevait à plus de 117 milliards de dollars en 2021. Dans le cas du réseau social de Mark Zuckerberg, l’amende pourrait s’élever à plus de 7 milliards de dollars, soit quelque 6 milliards et demi d’euros (au cours actuel).

Pour de nombreux observateurs, inclure de telles sanctions dans le règlement constitue un élément clé parce que l’autorégulation du secteur est une utopie. Jusqu’ici en effet, les plateformes n’ont pas voulu endosser la responsabilité de contrôler leurs contenus.

On notera que les législateurs européens ont ajouté un mécanisme de réaction en cas de crise, dans le contexte de l’invasion de l’Ukraine par la Russie. Selon ce dispositif, la Commission européenne pourra prendre des mesures « proportionnées et efficaces » à l’encontre des très grandes plateformes en ligne et des moteurs de recherche qui contribueraient à des campagnes de désinformation.

Assez loin ?

Jamais le Far West d’Internet n’a été aussi réglementé qu’avec ce nouveau paquet législatif largement salué au sein de l’Union européenne, mais sera-t-il suffisant ? Certaines associations mesurent le pas en avant ainsi réalisé, mais elles déplorent dans le même temps que les institutions européennes ne soient pas allées plus loin, notamment dans la protection des utilisateurs du web.

C’est le cas du Beuc, le Bureau européen des unions de consommateurs, basé à Bruxelles. Il regroupe 46 organisations indépendantes dans pas moins de 32 pays et défend les intérêts des consommateurs européens auprès de l’UE. « Depuis des années, nos associations membres constatent que des produits non conformes à la loi sont vendus en quantités immenses sur des places de marché en ligne », précise le porte-parole du Beuc Sébastien Pant.

Une étude menée dans six États membres il y a deux ans en atteste en effet. De nombreux objets vendus sur le web avaient alors été passés au peigne fin : des adaptateurs électriques, des clés USB, des câbles d’ordinateurs, des jouets en plastique, des détecteurs de fumée, du dentifrice, des produits cosmétiques, des vêtements pour enfants, etc. L’enquête – à laquelle avait participé Test Achats en Belgique – concluait que 66 % de ces produits n’étaient pas conformes à la législation européenne.

« Jusqu’à présent, nous signalons ce genre de problème aux places de marché mais quasiment rien ne bouge », se désole Sébastien Plant. Le Beuc est déçu par le Digital Services Act sur ce point précis : « Nous demandions que la place de marché, le market place, soit tenue responsable si un produit est non conforme ou dangereux mais ce n’est pas l’option retenue. Les plateformes en ligne devront juste effectuer des contrôles aléatoires sur les produits. Concrètement, ça veut dire que les plateformes vont vérifier si les produits litigieux se trouvent sur la banque de donnée Rapex. Or, il faut que le produit ait préalablement été signalé pour qu’il se trouve dans ce système. Qu’en est-il de tous les autres ? Nous aurions préféré des contrôles plus stricts ». Rapex est le système européen d’alerte rapide pour les produits de consommation dangereux, à l’exception des produits alimentaires, pharmaceutiques et des médicaments.

Une autre critique formulée par l’association européenne de consommateurs concerne la publicité ciblée, en d’autres termes la surveillance de tout ce que nous faisons en ligne, utilisée par les annonceurs pour nous proposer des produits et des services spécifiques, particuliers… ciblés. « Nous demandions l’interdiction des publicités ciblées. Finalement, le règlement européen interdit aux annonceurs de “montrer” les publicités aux mineurs d’âge. Comprenez-moi bien, il s’agit d’une avancée. Mais les institutions européennes auraient pu, une fois de plus, aller plus loin. Le texte interdit de “montrer” les publicités ciblées mais ces données pourront encore être utilisées à d’autres fins… », déplore Sébastien Plant.

Le Beuc se réjouit a contrario que la nouvelle législation permette au consommateur européen de participer à un recours collectif en cas de non-respect du DSA par une plateforme en ligne. Une citoyenne lambda hésitera peut-être en effet à s’attaquer seule à un géant d’Internet.

Et maintenant ?

Le DSA entrera en vigueur assez rapidement, le temps que le texte soit vérifié par des juristes et des linguistes et qu’il soit ensuite approuvé formellement par le Conseil et le Parlement européens. Le texte entrera en vigueur vingt jours après sa publication au Journal officiel de l’UE et les règles commenceront à s’appliquer quinze mois plus tard ou à partir du 1er janvier 2024.

Les États membres continueront à jouer un rôle-clé, mais le DSA veut éviter l’écueil du règlement général sur la protection des données. Le RGPD n’a en effet pas été mis en place de manière uniforme par les pays européens et la coopération entre les autorités nationales est loin d’être au point. Dans le cas du DSA, seule la Commission européenne aura le pouvoir de mettre au pas les très grandes plateformes en ligne. Il s’agit d’une compétence exclusive. Les régulateurs nationaux, eux, continueront à contrôler les plateformes… plus petites. C’est un changement de paradigme.

L’application du DSA pose d’autres questions essentielles : comment les contenus illicites seront écartés par les pays européens ? Les États membres et la Commission européenne auront-ils réellement accès aux algorithmes de profilage des plateformes ? Comment seront vérifiés ces algorithmes ?

Au fond, la question-clé est celle des ressources nécessaires à la mise en œuvre des deux règlements. La tâche est immense et inédite. Elle devrait être confiée à la DG Connect, la direction générale des réseaux de communication, du contenu et des technologies. Elle ira de pair avec l’engagement de moyens financiers et de nombreuses personnes, indispensables pour faire respecter les nouvelles règles… à des géants comme Facebook ou Google qui, eux, regorgent d’experts et de moyens.

(Image de la vignette et dans l’article sous CC-BY-NC 2.0 ; séance du Parlement européen en 2016 à Strasbourg, prise par l’European External Action Service.)