Responsabilités sur le Web : ce qui change vraiment avec le règlement sur les services numériques

Même si le DSA a maintenu la « non-responsabilité » des hébergeurs et autres intermédiaires numériques, ce règlement européen sur les services numériques ouvre la voie à une auto-régulation a priori de la part des très grandes plateformes en ligne pour éviter les « risques systémiques ».

Par Anne Cousin, avocate associée, Derriennic Associés

Le règlement sur les services numériques – Digital Services Act (DSA) – du 19 octobre 2022 (1) est applicable à l’ensemble des intermédiaires du numérique depuis février 2024 : fournisseurs d’accès aux contenus, services de cache, moteurs de recherche, hébergeurs, plateformes en ligne. Que faut-il en attendre sur le terrain de la responsabilité de tous ces « fournisseurs de services intermédiaires » en cas de désinformation, cyber harcèlement, diffamation et contenus haineux ? Et ce, « quel que soit leur lieu d’établissement ou leur situation géographique, dans la mesure où ils proposent des services dans l’Union [européenne] ».

Des principes inchangés, parfois chahutés
A l’origine du Web, la question fondamentale fut de distinguer deux acteurs principaux : les éditeurs d’une part, responsables de plein droit des contenus qu’ils créent, et les hébergeurs d’autre part, qui à l’inverse ne doivent, ni même ne peuvent, en répondre. A la veille des années 2000, la bataille en France fut en effet acharnée sur le terrain judiciaire (2) et finalement remportée au Parlement en quelques années – loi « Liberté de communication » et loi « LCEN » (3) – par les tenants de la non-responsabilité des hébergeurs, considérée comme la condition sine qua non du développement des échanges sur Internet. Depuis, le principe a été repris par les lois françaises successives et – bien que la jurisprudence soit parfois hésitante dans son application pratique – la distinction de l’éditeur et de l’hébergeur, et les conséquences qui en découlent, sont fermement maintenue depuis. La régie publicitaire Google Adwords (4), le moteur de recherche Google (5), ou encore la plateforme de partage de vidéos Dailymotion (6) ont ainsi été jugés hébergeurs. Au contraire, ont été considérés comme éditeurs la plateforme Airbnb (7) ou encore le site web de billetterie de manifestations sportives Ticket Bis (8). Le DSA ne revient pas en arrière. Ce règlement européen sur le marché des services numériques maintient aussi la règle indissociable de la précédente et qui en est le pendant : l’hébergeur à qui est notifié un contenu manifestement illicite doit le supprimer « dans les meilleurs délais ». Le DSA précise qu’un tel retrait doit intervenir « sans examen juridique détaillé » (9). L’illicéité doit donc « sauter aux yeux » de l’hébergeur, ce qui devrait conduire, comme aujourd’hui, à une quasi-absence de suppression des contenus « simplement » diffamatoires ou injurieux, tant leur analyse est complexe et suppose un examen approfondi. Il est en effet exclu que l’hébergeur se prononce sur la vérité du propos diffamatoire (qui écarte l’infraction) ou la bonne foi de son auteur, qui détient les mêmes effets, puisqu’il ne dispose ni du recul ni du dossier nécessaire. Le juge des référés du Tribunal judiciaire de Paris l’a par exemple retenu en ces termes : « Une appréciation du caractère éventuellement diffamatoire des vidéos, photographies et écrits litigieux suppose une analyse des circonstances ayant présidé à leur diffusion, laquelle échappe par principe à celui qui n’est qu’un intermédiaire technique. Cela a pour conséquence que cet intermédiaire ne peut, par le seul fait de cette diffusion ou du maintien en ligne, être considéré comme ayant eu un comportement fautif, étant précisé en outre que la diffamation, à la supposer constituée, n’égale pas forcément trouble manifestement illicite » ((10).
Ce n’est finalement que dans des cas exceptionnels – en raison des thèmes abordés, de la violence particulière du propos considéré – que l’hébergeur pourra trancher en faveur du caractère manifestement diffamatoire ou injurieux du contenu et le supprimer. Le maintien de ce principe par le DSA montre donc que la question de la non-responsabilité des hébergeurs et autres intermédiaires fait aujourd’hui consensus. A ce stade, il pourrait donc être justifié de soutenir que, malgré les déclarations tonitruantes de certains politiques, le DSA ne révolutionnera pas le paysage juridique. Il ne mettra donc pas fin à l’irresponsabilité des plateformes puisque la tâche a déjà été accomplie, et ce, depuis longtemps… Mais cette approche, elle aussi à tort radicale, ne tient pas compte des véritables apports du DSA.

Responsabilité et responsabilisation
En réalité, le règlement sur le marché des services numérique fait le constat que sur le terrain de la « responsabilité » des intermédiaires, c’est-à-dire « après » la diffusion du contenu illicite, tout a été fait : les droits nationaux et le droit de l’Union européenne (UE) ne peuvent aller beaucoup plus loin que la construction légale et jurisprudentielle actuelle. Une définition uniforme dans l’UE de ce qu’il faut entendre par contenu dit « illicite » était peut-être envisageable, tout comme la fixation uniforme de délais de retrait par l’hébergeur en fonction de la gravité du contenu. Mais guère plus. En revanche, sur le terrain cette fois des « obligations » et de la « responsabilisation », beaucoup restait à bâtir. Et c’est ce à quoi s’emploie le DSA. On peut ainsi se demander si la distinction fondamentale de l’éditeur et de l’hébergeur, qui a commandé toute la réflexion depuis l’origine, conserve aujourd’hui effectivement toute sa force.

Nouveaux enjeux, nouvelles obligations
L’idée s’est peu à peu faite jour que les graves dérives actuelles telles que la manipulation de l’information, le cyberharcèlement ou la haine en ligne ne pourraient recevoir une réponse adaptée si le droit persistait à s’en tenir à la seule distinction de l’éditeur qui répond de tout, et de l’hébergeur qui en principe ne répond de rien. Sur ce point, le DSA innove à plusieurs égards, faisant de la modération des contenus, l’élément central du nouveau rôle attribué aux intermédiaires techniques du Web. Il leur impose tout d’abord une obligation renforcée de transparence sur le fonctionnement de la modération a posteriori, laquelle est en effet souvent dénoncée comme opaque et peu compréhensible, conduisant à d’inévitables contentieux. Twitter – devenu X – a ainsi été contraint judiciairement (11), parce qu’il s’y refusait, de fournir des données sur sa procédure de modération (moyens mis en œuvre, nombre de signalements reçus, …). Les conditions générales des hébergeurs doivent désormais détailler les politiques, process, mesures et outils utilisés à cette fin, y compris en ce qui concerne la prise de décision fondée sur des algorithmes et le réexamen par un être humain. Les informations devront être énoncées « dans un langage clair, simple, intelligible, aisément abordable et dépourvu d’ambiguïté » et mises « à la disposition du public dans un format facilement accessible et lisible ».
Les intermédiaires devront aussi établir un rapport annuel détaillant le type de réclamations reçues des particuliers comme des administrations, et les décisions prises pour y donner suite (12). Instagram, Facebook et d’autres très grandes plateformes ont publié leur premier rapport de transparence fin 2023 (13). On y apprend que les Etats membres sont très peu interventionnistes, notamment la France, et que les injonctions de suppression émanant des autorités sont peu nombreuses. Les intermédiaires devront également être plus transparents sur leur système de recommandation, qui, très souvent, permet de favoriser les contenus les plus violents et donc les plus dangereux pour la paix civile.
Mais là où le DSA innove véritablement, c’est à l’égard des « très grandes plateformes » et des « très grands moteurs de recherche » – ceux qui comptabilisent au moins 45 millions d’utilisateurs actifs dans l’UE. Globalement, les obligations qu’il prévoit vont en effet croissant : tous les intermédiaires techniques sont soumis à une série de règles ; ensuite l’ensemble des hébergeurs sont concernés par plusieurs dispositions complémentaires ; puis parmi les hébergeurs, la catégorie particulière des plateformes devra satisfaire à des engagements encore plus contraignants ; et enfin, les « très grandes plateformes en ligne » et les « très grands moteurs de recherche en ligne » seront tenus d’obligations plus sévères encore (14). A leur égard, compte tenu de leur rôle primordial dans la diffusion de l’information au sens large, on considère que la modération a posteriori ne suffit plus à traiter efficacement les dérives les plus graves et c’est pourquoi le DSA leur fait désormais obligation d’intervenir également a priori. Ces « VLOP » (Very Large Online Platforms) et ces VLOSE (Very Large Online Search Engines), dont la liste peut évoluer (15), doivent en effet désormais procéder une fois par an à une auto-analyse de leur fonctionnement et se soumettre à un audit indépendant afin d’en identifier les « risques systémiques » – notamment « lorsque l’accès à des contenus illicites peut se propager rapidement ». Ils doivent ensuite, lorsque ces risques systémiques sont identifiés, mettre « en place des mesures d’atténuation raisonnables, proportionnées et efficaces » (16). On peut voir dans cette évolution, une obligation de modération a priori cette fois, mais de portée générale et non dirigée vers un contenu particulier.
La distinction essentielle entre l’éditeur qui produit le contenu et le contrôle, et l’hébergeur qui reste extérieur au contenu et qui intervient seulement une fois l’illicéité portée à sa connaissance, a donc fait long feu. Mais de nouvelles questions surgissent. En effet, l’irresponsabilité des intermédiaires les plus puissants du marché est-elle toujours un principe intangible ? Peuvent-ils désormais se trouver mis en cause si, malgré les audits qui leur sont imposés, ils n’ont pas correctement identifié les risques et ne sont pas intervenus en amont comme ils l’auraient dû pour en atténuer les conséquences ? Une réponse positive à cette question est parfaitement envisageable. Il ne s’agirait plus alors de déterminer seulement s’ils devaient retirer tel ou tel contenu illicite mais, concrètement, si tel ou tel crime – par exemple un acte terroriste – aurait pu être évité s’ils avaient correctement identifié, analysé le risque et pris les mesures nécessaires pour le limiter ou même l’écarter.

Liberté d’expression : qui est l’« arbitre » ?
Au-delà, l’accroissement de la responsabilisation des très grandes plateformes et très grands moteurs de recherche pose aussi directement la question du rôle du juge dans la sanction des abus de la liberté d’expression. Le DSA ne conduit-il pas à faire de chacune des plus puissantes plateformes mondiales « l’arbitre unique » de celle-ci et de ses dérives ? L’évolution contemporaine de X (ex-Twitter) qui se prévaut d’une liberté totale (dont il y aurait beaucoup à dire au demeurant) ne sonne-t-elle pas déjà comme un sinistre avertissement ? Le débat est en tout cas lancé. @