Connexion
Démo
Home » Blog » Actualités RGPD » Que retenir du Digital Services Act (DSA) si vous êtes DPO ?

Que retenir du Digital Services Act (DSA) si vous êtes DPO ?

Publié le

Le Digital Services Act entre en vigueur avec pour objectif de définir des règles pour les plateformes en ligne

Que l’entreprise pour laquelle vous travaillez en tant que Délégué à la protection des données (DPO) soit utilisatrice de service de la société de l’information ou elle-même prestataire, elle ne peut pas rester dans l’ignorance des récents textes européens entrés en application ces derniers mois. 

Dans cet article, on fait le point sur l’un d’entre eux, le Règlement 2022/2065 sur les services numériques (Digital Services Act / DSA), afin que vous puissiez évaluer son impact concret sur votre entreprise lorsqu’elle utilise un de ces services.

On vous aide aussi à prendre un peu de hauteur sur la stratégie numérique qu’est en train de construire l’Union Européenne (UE), dont le DSA n’est qu’un des éléments et qu’il nous semble important que vous puissiez garder à l’œil. 

Stratégie numérique européenne 

A côté du RGPD encadrant l’utilisation de données personnelles et des textes voulant assurer une résilience des acteurs en imposant des obligations de sécurité informatique (directive NIS2) ou physique (Directive sur la résilience des entités critiques), parfois spécifiques à certains secteurs (comme le secteur financier avec le règlement DORA), l’UE va également réglementer les comportements des acteurs agissant dans le numérique ainsi que la manière d’accéder et d’utiliser plus largement les données (pas forcément personnelles).

Le Règlement (UE) 2022/1925 sur les marchés numériques (Digital Market Act / DMA) est là pour garantir un secteur numérique compétitif et équitable, en permettant aux entreprises numériques innovantes de se développer et en assurant la sécurité des utilisateurs en ligne. Il est applicable depuis le 2 mai 2023.

Le Règlement (UE) 2022/868 sur la gouvernance des données vise à rendre certaines données (personnelles ou non) disponibles pour la réutilisation et faciliter leur partage dans différents domaines (santé, l’environnement, l’énergie, l’agriculture, la mobilité, la finance, etc. ). Il sera applicable à partir du 24 septembre 2023. 

La proposition de règlement sur les données (Data act) fixera quant à elle des règles harmonisées pour veiller à l’équité de l’accès aux données et de l’utilisation des données.

Autre proposition de règlement toujours en discussion qu’il nous semble opportun de suivre si votre entreprise s’intéresse de près ou de loin au sujet : la proposition de règlement sur l’intelligence artificielle (AI act) .

Le Digital Services Act (DSA) : Dates d’application et objectif

Le DSA continue son entrée en application par vague. Le 25 août 2023, les entreprises reconnues comme très grandes plateformes et les très grands moteurs de recherche entraient dans la danse. Pour les fournisseurs de services qui n’entrent pas dans cette catégorie, le rendez-vous est fixé au 17 février 2024. 

L’objectif annoncé est de garantir un environnement en ligne sûr, prévisible et de confiance, en :

  • luttant contre la diffusion de contenus illicites et d’informations trompeuses 
  • tout en veillant à la protection des droits fondamentaux (Charte des droits de l’UE) 
  • et en facilitant l’innovation. 

Le DSA : Les acteurs concernés et les rôles créés pour l’occasion 

Les acteurs concernés

Fournisseurs de services en ligne

Les services en ligne sont définis comme des services qui sont normalement (mais pas que) fournis contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire. 

Ces services impliquent une interaction avec des informations fournies (texte, vidéo, etc.) par un «destinataire du service» et sont divisés en : 

  • services de «simple transport» (ex :  réseaux privés virtuels, les services de DNS, les bureaux d’enregistrement de noms de domaine, les autorités de certification délivrant des certificats numériques, services de communication interpersonnelle, etc.) ;
  • services de «mise en cache» (ex :  fourniture de réseaux d’acheminement de contenus, de serveurs mandataires inverses ou de serveurs mandataires d’adaptation de contenus) ;
  • services d’«hébergement»  (ex : hébergement de site web, référencement payant, partage de contenus en ligne, y compris stockage et partage de fichiers). Dans l’hébergement, le DSA fera également la différence entre le type d’hébergeur et sa taille, pour lui ajouter des obligations toujours plus strictes :  Tout service d’hébergement => Plateformes en ligne => Plateformes en ligne qui permettent aux consommateurs de conclure des contrats à distance avec des professionnels => Très grandes plateformes.

Le DSA vise les fournisseurs proposant des services dans l’UE ou visant (“ayant un lien étroit avec”) le marché européen.

À la différence du RGPD, la taille du fournisseur aura un impact sur le niveau (voire l’existence) de certaines des obligations à respecter : 

  • obligations spécifiques (et démarrage anticipé au 25/08/23) pour les très grandes plateformes et très grands moteurs de recherches = les services ayant plus de 45 millions d’utilisateurs dans l’UE.
  • non-applicabilité de certaines obligations pour les microentreprises et petites entreprises (telles que définies par la recommandation 2003/361/CE), sauf dans le cas où une microentreprise fournit un service de plateforme qui correspond à la définition d’une très grande plateforme ;

Pour information, ce nombre d’utilisateurs mensuel correspond à un des critères du DMA pour qu’une plateforme soit désignée «contrôleur d’accès» .

Destinataire des services

Le «destinataire des services» est toute personne (physique ou morale) qui va utiliser le service mis à sa disposition, que ce soit simplement pour consulter l’information ou la rendre accessible à d’autres personnes.

Les rôles créés pour l’occasion

Coordinateur pour les services numériques 

Chaque état membre devra désigner un “Coordinateur pour les services numériques” qui sera en charge des contrôles et des sanctions, de la certification d’Organes de règlement extrajudiciaire et de la nomination des Signaleurs de confiance. Il coordonne également la transmission d’informations vers la Commission (ex : lorsqu’une plateforme entre dans les conditions pour être qualifiée de «très grande plateforme»).

Ces coordinateurs se réuniront au sein d’un Comité européen des services numériques (European Board for Digital Services), un groupe consultatif qui veillera à l’application cohérente du DSA et des lignes directrices qui seront générées par les Coordinateurs et la Commission. 

Organes de règlement extrajudiciaire

Ces entités, certifiées par le Coordinateur, servent de niveau d’appel lorsqu’un recours interne a lieu au sein d’une plateforme (par rapport à une prise de position de la plateforme sur un contenu qui serait illicite). Leurs décisions ne sont pas contraignantes. 

Signaleurs de confiance

Une entité ayant une expertise spécifique lui permettant de détecter un certain type de contenus illicites plus facilement peut demander au Coordinateur de son état membre de devenir Signaleur de confiance. 

Les signalements qu’elle effectuera à une plateforme devront être traités en priorité par celle-ci. Le Signaleur devra publier un rapport annuel sur son activité de signalement qui devra être facilement compréhensible.

Comment se positionne votre entreprise par rapport aux acteurs et rôles créés par le DSA ?

Si l’entreprise que vous conseillez en tant que DPO n’est pas considérée comme un fournisseur de services en ligne, il y a de grandes chances que d’une manière ou une autre, elle y ait recourt en tant que destinataire des services.

Si vous travaillez pour une association dont l’activité est la dénonciation de comportements pouvant être valorisés via des contenus illicites, vous pourriez leur mentionner l’existence du rôle de Signaleur de confiance. 

Thèmes abordés par le DSA

Exemption de la responsabilité vis-à-vis des contenus illicites transmis par les «destinataires des services»

Le principe est le suivant : un fournisseur de services en ligne n’est pas responsable pour la diffusion d’informations/contenus illicites, tant qu’il respecte des conditions précises sur la manière dont il interagit avec ces contenus. 

Le caractère illicite d’un contenu doit être compris très largement : Peut être «illicite» toute information qui en elle-même (discours discriminatoires, partage illégal d’images privées sans consentement) ou parce qu’elle est en lien avec une activité (ex : la vente de produits de contrefaçons) n’est pas conforme :

  • au droit de l’UE (dont le RGPD) ;
  • au droit d’un état membre de l’UE.

Selon que le fournisseur preste un service de «simple transport», de «mise en cache» ou d’«hébergement», les conditions à respecter pour ne pas être reconnu responsable seront de plus en plus strictes. 

Ce thème était autrefois couvert par la Directive sur le commerce électronique et était donc sujet à des spécificités nationales. L’UE a décidé de faire migrer ce thème dans le DSA, pour améliorer la sécurité juridique en éliminant les spécificités nationales et en intégrant les clarifications effectuées par la Cour de Justice de l’Union Européenne (CJUE) dans ces différentes décisions.

Gestion des injonctions

Le DSA prévoit la coordination entre :

  • les autorités judiciaires ou administratives nationales compétentes qui notifient aux fournisseurs de services une injonction d’agir sur un contenu illicite ou une injonction de fournir des informations sur ce contenu, 
  • le Coordinateur et le Comité européen (qui reçoivent des informations sur ces injonctions et le suivi qu’elles ont eu).

Aperçu des «obligations de diligence» que doivent respecter les fournisseurs de services

Quelles sont celles qui peuvent vous intéresser, en tant que destinataire des services ? 

Obligation pour le fournisseur d’avoir un représentant légal en UE, s’il n’a pas d’établissement dans un des pays membres. 

Mise en place d’un moyen de recours pour le destinataire des services dont un contenu aurait été déclaré illicite, et dont le contenu serait démonétisé voire supprimé. L’existence de cette possibilité de recours peut être une information intéressante à signaler à votre entreprise si jamais elle se retrouve dans cette position.

Les conditions générales doivent inclure une liste de sujets précis (avec des obligations supplémentaires selon le type de service rendu et sa taille), fournissant des renseignements dans un langage clair, simple, intelligible et dans un format facilement accessible et lisible par une machine, par exemple : 

  • Informations sur les procédures de modération de contenus (incluant l’utilisation éventuelle d’algorithme et le ré-examen par un être humain) et la manière de traiter les réclamations ;
  • l’existence d’un système de recommandation de contenus (ainsi que les paramètres pris en compte et comment les modifier) ;
  • les très grandes plateformes et très grands moteurs de recherche devront fournir un résumé de leurs conditions générales.

Un rapport de transparence doit être mis à disposition du public, reprenant des informations sur la modération de contenus, les injonctions reçues, etc. Sa fréquence et l’ampleur des informations à fournir par le fournisseur de services dépendra de son type et de sa taille. 

La possibilité de notifier des contenus illicites hébergés par une plateforme en ligne. 

Les très grandes plateformes devront également fournir des analyses de risques causés par l’utilisation de leurs services (incluant les mesures prises pour les atténuer) qui seront rendues publiques via un rapport annuel du Comité européen. 

Des mesures spécifiques devront être prises si une plateforme s’adresse (ou est dans les faits utilisée) principalement par des mineurs.

Les plateformes en ligne devront également veiller à mettre en place des fonctionnalités assurant une transparence sur l’utilisation de publicité (qu’elle soit ciblée ou non), que ce soit pour permettre aux consommateurs de comprendre qu’ils en font l’objet ou aux entreprises qui souhaitent en faire de communiquer en toute légalité. La publicité ciblée sur base de profilage de données sensibles est expressément interdite. 

Interdiction globale des dark patterns et l’importance de la clarté 

Le DSA est le premier texte européen faisant explicitement référence à l’interdiction d’utiliser des dark patterns / interfaces trompeuses.. mais mentionne cela uniquement dans le préambule (au niveau du considérant n°67).

Il fait également de nombreuse références explicites (comme mentionné pour les conditions générales, par exemple) à l’obligation de communiquer dans un langage clair et compréhensible. 

C’est probablement une bonne occasion pour ces plateformes d’adopter l’utilisation du Legal Design aussi bien dans leur communication que dans la construction de leur interface.. et pour vous, c’est un argument supplémentaire pour convaincre votre hiérarchie d’adopter cette technique dans ses propres communications et outils à destination du public. 

C’est en tout cas la méthode utilisée par Admeet pour construire ses outils RGPD pour piloter les politiques de confidentialité et de cookies de son site web afin de vous aider dans votre mise en conformité RGPD et EPrivacy.

DSA : Les sanctions

Les sanctions prononcées devront toujours être “effectives, proportionnées et dissuasives”. 

  • Amende jusqu’à 6 % du chiffre d’affaires mondial annuel pour un
    • non respect d’une obligation du DSA
    • pour les très grandes plateformes : ne respectent pas une décision de prise de mesures provisoires ou un engagement rendu contraignant.
  • Amende jusqu’à 1 % du chiffre d’affaires mondial annuel  en cas de
    • fourniture d’informations inexactes, incomplètes ou trompeuses ;
    • absence de réponse ou la non-rectification d’informations inexactes, incomplètes ou trompeuses ;
    • manquement à l’obligation de se soumettre à une inspection ;
    • pour les très grandes plateformes : ne répondent pas aux demandes d’information, ne respectent pas les mesures adoptées par la Commission ou les conditions d’accès au dossier.

Des astreintes sont également possibles (jusqu’à 5 % des revenus ou du chiffre d’affaires mondial journaliers moyens) en cas de non-exécution des mesures prises dans la décision.

Les très grandes plateformes sont directement sanctionnées par la Commission, alors que les autres fournisseurs de services en ligne sont sanctionnés par l’état membre où le fournisseur a son établissement principal. 

La Commission peut aussi sanctionner «toute autre personne» physique ou morale qui est susceptible d’avoir des informations sur une infraction présumée et qui ne collabore pas (amende ou astreinte).

Conclusion : Et le rôle du DPO dans tout ça ?

Notre objectif n’est pas de vous mettre la pression en ajoutant tous les enjeux de la stratégie numérique européenne sur la longue liste des missions déjà confiées au DPO. 

Il est néanmoins certain que votre entreprise se retrouvera impactée par ce remodèlement progressif de l’espace numérique tel que nous sommes en train de le vivre.

Par conséquent, aider votre entreprise à comprendre où elle se situe par rapport à ces textes lui apportera une énorme valeur ajoutée. Elle pourrait devoir mettre en place des actions car elle fournit des services en ligne ou elle pourrait vouloir être attentive au respect du DSA (par exemple) par ses fournisseurs de services en ligne, afin d’éviter de mauvaises surprises.

La bonne approche selon nous ? Pouvoir mentionner au management de votre entreprise l’existence des enjeux couverts par le DSA et souligner l’idée qu’une autre fonction en interne s’empare de ces thématiques.

En effet, cette approche proactive de votre part pourrait contribuer à ce que vos collègues vous impliquent plus systématiquement avant le démarrage des projets brassant nouvelles technologies et données. 

Le but final ? Pouvoir vous assurer que la voix de la personne concernée, l’individu dont les données personnelles seront exploitées, ne soit pas oubliée.

Découvrez notre solution pour les DPO

Catégories

Derniers articles