"Le compte a rebours a commencé", a assuré mardi le commissaire européen au Marché intérieur, Thierry Breton. L'Union européenne venait de dévoiler la liste des entreprises soumises au nouveau règlement européen, DSA, pour "Digital Services Act", dans ses mesures les plus strictes. Ces 19 entreprises vont devoir rapidement se conformer à un certain nombre de règles, qui pourraient bien modifier directement la façon dont on utilise certains services et applications dans les années à venir.

Qu'est-ce que que le Digital Services Act ?

Ce règlement europééen a pour objectif de mettre fin aux zones de non-droit et aux abus sur Internet, en poussant notamment les services à faire preuve de plus d'efficacité pour supprimer les contenus illégaux en ligne. Il constitue le deuxième volet d'un plan lancé en décembre 2020 par la Commission européenne, et dont la première partie, le Digital Markets Act (DMA), a été conclu en mars 2022. Celui-ci vise à favoriser la concurrence loyale en interdisant, par exemple, à Google de ne proposer que des résultats Google Shopping par défaut dans son moteur, ou à Apple d'interdire le téléchargement d'applis en dehors de l'App Store.

Le DSA était donc en discussion depuis plus d'un an et se présente comme une mise à jour d'une directive dite e-commerce, qui est née il y a plus de vingt ans. Présenté en janvier 2022, le texte a été adopté à la fin de l'année dernière, et sera complètement entré en vigueur le 17 février 2024. D'ici là, ses premières mesures s'appliquent avant tout aux entreprises les plus massives.

Quelles sont les entreprises concernées ?

Il y a pour l'heure principalement 19 entreprises visées, qui sont toutes de très grandes plateformes en ligne. L'Union européenne a inclus dans ce groupe les entreprises qui détiennent des plateformes avec plus de 45 millions d'utilisateurs actifs, soit environ 10 % de la population de l'Union. Les principaux services des Gafam (Apple, Google, Meta, Microsoft et Amazon) sont concernés, y compris leurs filiales, comme Instagram et Facebook pour Meta, Bing et LinkedIn pour Microsoft, ou encore Google Maps, Google Shopping et YouTube pour Google.

Mais ce ne sont pas les seuls concernés : les sites commerciaux Alibaba (en Chine) et Zalando sont aussi dans le viseur de la commission, de même que les réseaux sociaux Twitter, Pinterest, Snapchat et TikTok, ou l’encyclopédie en ligne Wikipedia. Enfin, les deux principales boutiques d’applications, l’App Store et le Play Store, sont concernés.

Les grandes applications avaient jusqu’au 17 février pour publier leur nombre d’utilisateurs en Europe. La Commission européenne s’est réservé le droit d’ajouter à la liste des applications sur laquelle elle a des doutes, et pour lesquelles elle procède à des vérifications, comme Telegram, Airbnb, Pornhub, Spotify ou Tinder.

Que vont-elles devoir faire ?

Ces entreprises vont devoir se conformer à des règles strictes en raison de leurs "responsabilités particulières", du fait de leur taille et de la popularité. Elles devront ainsi mettre en œuvre des moyens dimensionnés pour modérer les contenus illégaux ou qui portent atteinte à la vie privée. Elles doivent aussi ouvrir leurs algorithmes aux autorités européennes et rendre l'accès à leurs données pour des chercheurs agréés.

Pour les utilisateurs et utilisatrices de ces applications, cela passera par des fonctions d’information et de personnalisation : Facebook devra par exemple permettre à un utilisateur de comprendre pourquoi l’algorithme a choisi de lui afficher telle ou telle publicité. Sur Instagram, il devra être possible de désactiver le tri algorithmique des publications pour ne laisser que des publications chronologiques.

Les plus grandes entreprises concernées, à savoir les Gafam, sont en négociations avec l’Union européenne depuis plusieurs mois pour que la transition se fasse en douceur, ce qui n’est pas le cas d’autres applications, comme Twitter et TikTok, pour lesquels les récents questionnements sur leur respect des données privées ont inquiété l’exécutif européen.

Quel est le calendrier d'application ?

La date est claire : les entreprises de la liste des 19 ont jusqu’au 25 août pour se mettre en conformité. Mais avant cela, elles auront la possibilité de travailler de concert avec la Commission européenne pour des phases de "test", d’ici à cet été, qui permettront à chaque plateforme de voir ce qui est conforme au DSA et ce qui ne l’est pas, pour agir en conséquence. Mardi, Thierry Breton s'est notamment félicité du fait que Twitter ait accepté de se soumettre à ce test de conformité, et que TikTok s’était également dit intéressé par cet accompagnement.

Quelles sont les sanctions prévues ?

Le bon respect des règles de l’UE sera surveillé par une équipe spécifique, composée de spécialistes, qui seront chargé de réaliser des audits réguliers. Les entreprises seront aussi contraintes de réaliser un audit indépendant chaque année. En cas de manquement, les contrevenants s’exposent à des sanctions financières pouvant atteindre 6% du chiffre d’affaires mondial de leur groupe, et, en cas de récidive, à une interdiction temporaire d’exercer dans l’UE.

Quid des autres services en ligne ?

Ils vont aussi devoir se plier à des règles du DSA, mais plus tard : c’est le 17 février 2024 que tous les services et plateformes en ligne devront se plier à une partie des règles du DSA : l’obligation d’agir "promptement" pour retirer un contenu illicite, ou l’interdiction d’utiliser les données "sensibles" des utilisateurs comme le genre ou l’appartenance religieuse à des fins publicitaires, s’appliquera à tous, de même que les règles de transparence sur les algorithmes de recommandation. Dans ces cas-là, ce n’est pas l’Union européenne qui exercera un contrôle direct, mais les autorités de régulation à l’échelle de chaque pays membre – en l’occurrence, l’Arcom en France.