Après une consultation, des mois d’annonce dans les médias, des débats enflammés sur fond d’actualité, et deux reports… Les voilà dévoilés. Ce sont les tant attendus Digital Services Act et Digital Market Act, promis par l’Europe et menés par Thierry Breton, commissaire européen chargé du Marché intérieur et du Numérique, et Margrethe Vestager, vice-présidente exécutive de la Commission européenne en charge de la Concurrence. La politicienne danoise et l’ancien patron français incarnent le bloc européen contre la Big Tech, et ont présenté le 15 décembre après-midi leur œuvre, fruit de mois de travail et de querelles.

Si la tension et l’attente ont été palpables ces derniers mois, c’est bien parce que ces textes législatifs devraient répondre à des enjeux stratégiques pour l’Europe. La pandémie qui s’est abattue sur les pays du monde a révélé les forces et les faiblesses de l’espace numérique global. Comme deux faces d’une même pièce : d’un côté les progrès et de l’autre les problématiques. La démocratie, système commun cher à l’Europe, déjà bien contestée et abîmée, n’a pas su immédiatement trouver de réponses efficaces à la situation. La digitalisation fut le credo. Dans un monde où le contact devient dangereux, créons de nouvelles proximités, stériles, médiées. La société et l’économie ont vu des métamorphoses, déjà en cours, s’amplifier.

Depuis plusieurs années, le taux d’utilisation des réseaux sociaux pour s’informer à atteint des sommets, encore plus durant la pandémie. Logiquement, s’en est suivi la propagation de fausses informations : sur les vaccins, les liens entre 5G et coronavirus, sur le discours politique… Si nos façons de communiquer, d’acheter ou de nous informer avaient déjà vécu d’immenses transformations au cours des années 2000, l’ère du coronavirus a définitivement marqué le rôle du numérique dans nos vies.

Cependant, on ne peut pas uniquement constater les progrès que permet la digitalisation de l’économie. En y regardant de plus près, la polarisation, les utilisations arbitraires et la dépendance qu’elle offre ne sont guère de bon augure. La concentration de pouvoir des entreprises que l’on surnomme GAFAM, ou Big Tech, leur permet de mettre en place une collecte de données transversales grâce aux différents services, filiales et activités qu’elles détiennent. Ainsi, elles dépossèdent les européens de contrôle sur leurs informations personnelles et sur les moyens et sources d’information. En plus d’ôter aux citoyens une quelconque chance de contrôle, les GAFA dépossèdent les petites et moyennes entreprises de chances de s’insérer sur le marché, face à des conglomérats inamovibles.

Comme l’Europe s’efforce de réguler le monde physique, il est temps de faire avancer la régulation du monde numérique. Harcèlement en ligne, garantie de la concurrence, violence et contenu illégal sur les grandes plateformes, propagation de produits ou services illicites, fausses informations, pratiques anticoncurrentielles, ou encore processus démocratiques et mécanique des réseaux : la liste des thèmes qu’abordent le Digital Services Act et les Digital Market Act est longue, audacieuse, et critique.

Deux textes, une raison d’être

En Europe, le cadre juridique des services numériques est resté inerte face aux changements rapides depuis l’adoption de la directive sur le commerce électronique (ou « e-commerce ») en 2000. Jusqu’ici, cette législation a constitué la pierre angulaire de la réglementation de l’espace numérique et de ses acteurs. En 2000, peu de gens imaginaient que 20 ans plus tard, des millions de personnes à travers la planète porteraient dans leurs poches un appareil combinant appareil photo, télévision, chaîne stéréo, boîte aux lettres instantanée, carte bancaire, console de jeu…

En Europe, Internet et l’écosystème numérique sont maintenant dominés par une poignée de sociétés à la fois récentes et colossales. Google, Amazon, Facebook, Apple, et Microsoft pour ne citer qu’elles. Ces géants, dont la plupart ont à peine 20 ans, ont une capitalisation (à l’exception de Facebook) qui dépasse les 1 000 milliards de dollars.

Aucun problème, en théorie, si ces entreprises n’étouffaient pas leurs concurrents et ne pariaient pas sur le commerce des données personnelles de leurs utilisateurs. On sait aujourd’hui que de nombreuses pratiques jugées déloyales sont monnaie courante des grandes plateformes en ligne. Google est régulièrement sanctionné par la Commission Européenne. Amazon exploiterait, au profit de ses propres produits, les données des vendeurs tiers utilisant sa place de marché. On peut également évoquer les rachats de WhatsApp et d’Instagram par Facebook qui lui valent aujourd’hui un procès pour abus de position dominante aux États-Unis.

Aujourd’hui désuet, le cadre législatif européen avait bien besoin d’un dépoussiérage. Comme le déclare la page officielle dédiée au Digital Services Act (DSA) et au Digital Market Act (DMA), “le marché unique européen a donc besoin d’un cadre juridique moderne pour garantir la sécurité des utilisateurs en ligne et permettre aux entreprises numériques innovantes de se développer (…)”. Ce “reboot” est aujourd’hui arrivé, teinté de retards et de débats houleux. On a en effet reproché aux deux commissaires leurs différences, qui auraient jusqu’au bout menées à la lenteur du processus. Dernier symbole de cette lenteur ? La conférence de presse a été retardée de presque deux heures à cause de discussions encore en cours entre Thierry Breton et Margrethe Vestager.

Ces deux textes ont une seule raison d’être. Comme l’a rappelé Margrethe Vestager lors de la conférence de presse présentant les règlements : “Les deux propositions de lois servent un objectif : faire en sorte que les consommateurs puissent accéder à un large choix de produits et services sûrs en ligne. Et que les entreprises en Europe puissent librement et justement se concurrencer les unes les autres, en ligne comme hors ligne. C’est un seul monde. On devrait pouvoir faire notre shopping de manière sécurisée et faire confiance aux nouvelles que l’on lit. Ce qui est illégal hors ligne est illégal en ligne”.

Le Digital Services Act : réguler les plateformes et réseaux sociaux

Depuis des mois, on entend la même rhétorique : le monde virtuel devrait être encadré de la même façon que le monde réel, car ils ne sont qu’un, notre monde. “Le conducteur du DSA est simple : ce qui est autorisé offline doit l’être online, ce qui est interdit offline doit l’être online. Que l’on parle de contrefaçon, d’antisémitisme, de pédopornographie, de menaces de mort, ou de vente de drogues, tous les contenus illégaux doivent être retirés. Les contenus haineux, l’amplification de la violence verbale et physique, la désinformation doivent être identifiés comme tels et traités en conséquence”, expliquait Thierry Breton.

Le fragile équilibre, entre lutte contre les contenus illicites et liberté d’expression

Le DSA prévoit des mesures afin de protéger l’espace numérique, en fournissant un accès et des interactions plus sûres pour les utilisateurs. Elles visent tous les services intermédiaires, services d’hébergement, plateformes, et géants du web, contrairement à la loi sur le marché numérique qui ne s’adresse qu’aux gatekeepers. Suivant le principe clair de proportionnalité entre taille et responsabilité rappelé par Thierry Breton et Margrethe Vestager, des règles spécifiques sont prévues pour les plateformes atteignant plus de 10% des 450 millions de consommateurs en Europe.

Qu’est-ce que cela signifie concrètement ? Toutes les plateformes devront permettre aux utilisateurs de signaler tout contenu illicite, et coopérer avec les “signaleurs de confiance”. En réponse à la modération de plus en plus algorithmique, le texte apporte aussi des garanties aux utilisateurs, qui pourront dûment contester les décisions prises par les modérateurs, humains ou artificiels. Ces garanties comprennent par exemple une “exposition de raisons”, à tout utilisateur qui se verrait retirer du contenu en ligne. La ligne est mince, entre laxisme et atteinte à la liberté d’expression, comme l’ont pointé certains journalistes. Le texte tente de se placer au milieu, à l’équilibre, au raisonnable.

« J’ai voulu des règles ex ante. C’est-à-dire que pour venir sur notre marché intérieur, il faudra désormais respecter des règles extrêmement strictes » expliquait Thierry Breton, ancien PDG d’Atos, au micro de France Inter le 14 décembre. Stricte, la proposition de loi semble l’être, puisqu’elle prévoit des amendes importantes – 6% du revenu global total de l’entreprise concernée, si elle ne se plie pas aux ordres européens. Un maximum plus élevé que celui prévu par le RGPD.

Stricte est également la clause qui prévoit des audits externes, ou encore la communication entre les entreprises privées et les autorités nationales et européennes. Tous les services en ligne, que ce soit Google, DuckDuckGo, Ecosia, ou CDiscount, devront avoir un point de contact ou représentant légal afin de répondre aux possibles demandes de l’UE ou d’un pays de destination de leurs services. Les entreprises technologiques concernées, dont nombre d’entre elles avaient anticipé la proposition de loi européenne, ont commenté les annonces avec fair-play.

De son côté, Facebook, qui s’était pourtant plaint des règles strictes de modération de contenu en Allemagne, a déclaré qu’il se félicitait de l’harmonisation des règles de l’UE sur la question. Les propositions sont “sur la bonne voie pour aider à préserver ce qui est bon sur Internet”, a déclaré le réseau social numéro un.

Transparence rime avec conscience

Les très grandes plateformes, les fameux gatekeepers, seront soumises à des audits externes. Elles devront également respecter un devoir de transparence sur leurs algorithmes, et la hiérarchisation de leurs informations. Aussi, les gatekeepers devront faire des efforts vers une gestion des risques en ligne plus consciencieuse et transparente. Les grandes plateformes telles que Google ou Facebook seront donc forcées de réaliser une évaluation de ces risques pour les utilisateurs, afin de mieux orienter leurs mesures.

Cela peut paraître obscure, mais il n’y a qu’à penser à l’influence du filtrage et de la hiérarchisation automatique d’information pour nos propres connaissances sur le monde. Chaque jour, la plupart des personnes ouvrent un onglet et font défiler leur site d’information préféré, ou le fil d’actualité d’un réseau social, avides de nouvelles. Le problème, c’est que nombreux sites proposent des sélections de contenu personnalisées, basées sur l’historique de navigation, l’âge, le sexe, l’emplacement, et un tas d’autres données. Le résultat est un flot d’articles qui soutient généralement nos opinions et perspectives actuelles. Cela nous assure un agréable moment sur le site ou le réseau social en question, mais nous restreint dans nos perceptions de la réalité. Ce phénomène de “chambre d’échos” ou de “bulle de filtres” est, entre autres, ce qui souhaite être contré, en obligeant les plateformes à expliquer comment ils classent et personnalisent le contenu.

Les gatekeepers verront aussi la contrainte de partager les données récoltées sur leurs utilisateurs avec les autorités et les chercheurs. On se souvient du rapport du CSA sur la propagation des fake news en France, qui n’avait pu être réalisé que sur Twitter, Facebook fermant la porte à tout accès à ses données. Le contrôle du fonctionnement des plateformes, en plus d’être délégué aux chercheurs, le sera évidemment aux États membres, qui auront le rôle principal. Ceux-là seront soutenus par un nouveau Conseil Européen des Services Numériques et, dans le cas des gatekeepers, un monitoring renforcé par la Commission.

Le Digital Market Act : garantir la concurrence et l’innovation

Lutter contre les pratiques déloyales des conglomérats

Alors que plus de 10 000 plateformes en ligne fonctionnent dans les pays européens, 90% d’entre elles sont des PME, mais un petit nombre de grandes plateformes en ligne captent la plus grande part de la valeur globale générée. C’est ce que la loi sur les marché numérique (DMA) appelle un gatekeeper, ou gardien. Ces entités, que l’UE ne veut pas nommer, sont définies par des critères précis.

Il comprennent l’impact sur le marché unique (l’entreprise devra avoir gagné au moins 6,5 milliards d’euros sur les trois dernières années), la taille (au moins 45 millions d’utilisateurs actifs mensuels en Europe) et la durabilité (la validation des deux autres critères sur au moins trois ans).

Thierry Breton, lors de la conférence de presse qui accompagnait le dévoilement du projet, insiste sur ce que le DMA n’est pas : une tentative de bloquer le commerce et l’innovation. Au contraire, les gatekeepers, bien que visés par la législation, conserveront toutes les opportunités pour innover et offrir de nouveaux services. Ils verront juste des obligations s’appliquer, au vu de leur taille, et de l’importance de leurs comportements pour la concurrence au sein du marché unique.

Sera ainsi interdite l’auto-préférence. Les moteurs de recherche comme Google, ou plateformes comme Amazon, devront s’abstenir de favoriser leurs propres services ou produits dans le classement des contenus lors d’une recherche. Ces entreprises devront aussi arrêter d’empêcher les utilisateurs de désinstaller un logiciel ou une application préinstallé s’ils le souhaitent, comme sur les téléphones Android, où la suite Google est installée d’office.

Le DMA liste ainsi 7 obligations majeures traitant de l’interopérabilité, du traitement des données, ou de la transparence des plateformes. Dans le giron du texte, notamment, la collecte et la concentration systématique de données permettant le perfectionnement des grandes entreprises déjà parmi les plus performantes. La proposition de loi oblige à la mutualisation des données entre les entreprises, et l’empêche en leur sein même. Désormais, si un gatekeeper souhaite brasser des données récoltées grâce à l’un de ses services, il devra demander le consentement explicite de l’utilisateur.

Le but est de permettre aux petites et moyennes entreprises de bénéficier de comportements plus équitables de la part des gatekeepers, sans elles-même être soumises à la même sévérité d’obligations. Rien n’est figé, et une PME d’aujourd’hui pourrait se retrouver à remplir les critères d’un gatekeeper demain : l’idée est simplement de fournir un balancier des responsabilités et des opportunités, sur le marché de l’économie numérique.

Des mesures déjà surenchéries, saluées et contestées

Le même jour que l’annonce de la Commission Européenne et de la mise en ligne des deux textes de loi, le Royaume-Uni -qui négocie sa sortie de l’UE- a annoncé travailler sur une législation similaire. Créant un “devoir de diligence” afin de prévenir les dommages en ligne, le Royaume Uni souhaite obliger lui aussi les entreprises du net à lutter plus férocement contre les activités illicites permises en ligne. Imitant le DSA, le pays prend également inspiration du DMA, puisqu’il prévoit des règles de concurrence encadrant les grosses plateformes en ligne.

Déjà, les limites du texte de Thierry Breton et Margrethe Vestager ont été pointées. 19 associations italiennes représentant les composantes industrielles et créatives du secteur culturel demandent ont adressé une lettre commune au commissaire Paolo Gentiloni. Elles demandent « une correction de cap de la proposition de règlement qui, au regard des faits, est distante et en contradiction avec les intentions déclarées par l’exécutif européen et soutenues à plusieurs reprises par le Parlement européen ». Selon elles, le texte comporte des zones de flou, où peuvent alors prévaloir différentes interprétations pouvant nuire à l’industrie culturelle. Elles concernent plusieurs aspects de la proposition de loi : de l’intouchable limitation de responsabilité en faveur des platesformes (ou sphère de sécurité) à l’introduction de conditions plus strictes pour ceux qui veulent faire valoir leurs droits en ligne.

Il est vrai qu’une des victoires des lobbys est la conservation, intacte, du bouclier de responsabilité de base qui protège les intermédiaires numériques de la responsabilité pour le contenu publié. Le DSA prévoit une responsabilité sous condition : les plateformes et autres intermédiaires ne sont pas responsables du comportement illégal des utilisateurs à moins qu’ils ne soient conscients d’actes illégaux et ne les suppriment pas. Protégés de responsabilité, ils sont bien souvent aussi protégés d’efforts pour résoudre les problèmes existants. Même si le DSA et le DMA apportent de nouvelles obligations pesant sur les géants du numérique, ce problème de la responsabilité est une case attendue, qui n’est pourtant pas cochée.

Aux États-Unis, un débat similaire a lieu à propos de la section 230 permettant aux plateformes de se dédouaner de responsabilité pour le contenu qu’ils hébergent. Celle-ci pourrait être abrogée ou remodelée tant le besoin d’une restructuration des Big Tech est pressant. Cette urgence est vue également à travers les poursuites antitrust qui se sont abattues récemment contre Google et Facebook. Elles font échos à l’ouverture récente d’une enquête contre le géant Amazon par la Commission Européenne qui l’accuse d’avoir enfreint les règles de la concurrence et abusé de sa position dominante.

D’autre part, les lobbies pointent, eux, le risque d’une fracture de l’Internet, qui pourrait voir se former des zones spatiales aux règles différentes. C’est le cas par exemple de l’Internet Society, une association américaine qui défend Internet en tant qu’outil serviteur du bien. Selon l’association, et comme le rapporte le Wall Street Journal, cette nouvelle législation pourrait ouvrir le pas à l’idée d’un Internet à la carte, modelé selon les visions politiques, et découpé en zones géographiques et législatives. “Internet ne mourra pas d’une seule coupe. Il mourra de 1 000 coupes”, a déclaré le directeur d’Internet Society, Konstantinos Komaitis.

Qu’importe les critiques et saluts externes, les deux propositions de loi vont maintenant devoir passer les étapes du Parlement et du Conseil afin de devenir règles à part entières. Chaque projet de loi doit être approuvé à la fois par le Conseil européen, représentant les 27 gouvernements nationaux de l’UE, et par le Parlement européen, directement élu. Une des questions les plus vite posées pendant la conférence de presse fut “quand prévoyez-vous que les deux textes prennent effet ?”.

Grande question, compte tenu du parcours législatif des textes dans l’Union Européenne. Ils prendront au moins 1 an et demi afin d’être adoptés par le Conseil et le Parlement, puis 6 mois pour être mis en application. Deux ans est encore une estimation ambitieuse, compte tenu du précédent grand règlement de ce genre, le RGPD, qui avait demandé quatre ans de débats.