À ne pas confondre avec le Règlement général pour la protection des données (RGPD), le Digital Services Act, communément appelé « DSA », est un règlement européen visant à faire de l’Internet un espace plus sûr. Annoncé par la Commission européenne en décembre 2020, le texte a été adopté par le Parlement un mois plus tard avant d’être accepté par les États membres en avril 2022.

Quelques jours plus tôt, le Royaume-Uni a publié l’équivalent britannique, le Online Safety Bill. Si la proposition britannique prévoit des mesures de protection similaires à celles de l’Union européenne, les deux textes divergent en de nombreux points. Présentée au Parlement en mars 2022, la proposition de loi est en cours de discussion à la Chambre des Communes. Au programme, protection de la liberté d’expression, modération des contenus dits « préjudiciables » et sanctions encourues par les plateformes responsables de la diffusion de ces contenus.

Une volonté politique commune de protection des consommateurs

Face à l’ampleur grandissante des GAFAM (Google, Apple, Facebook devenu Meta, Amazon et Microsoft), nombreux sont les pays à adapter leur législation. Les colosses de l’Internet pèsent de plus en plus lourd dans la balance économique mondiale. Les rapports financiers de 2021 estiment le chiffre d’affaires cumulé des géants numériques à plus de 300 milliards de dollars des États-Unis, soit l’équivalent du produit intérieur brut de l’Afrique du Sud. Ainsi, les propositions européennes et britanniques se rejoignent dans leur volonté politique et ont pour objectif de contraindre les GAFAM à modérer les contenus nuisibles, mais également à réguler l’utilisation des algorithmes et les opérations de ciblage.

Marine Brogli, juriste en protection des données et fondatrice du cabinet de conseil DOP Consulting, met en évidence une zone d’ombre dans la proposition britannique relative aux contenus publicitaires. « L’Online Safety Bill n’est pas suffisant en matière de contenu publicitaire et d’exploitation des données personnelles », dit-elle, « il n’est pas demandé aux entreprises de signifier explicitement qu’un utilisateur est ciblé par un contenu. Cela peut prendre la forme d’une story sur Instragram qui n’est pas celle d’un individu, mais d’un espace publicitaire. Le DSA est bien plus protecteur à cet égard. » Cette lacune met à risque les plus jeunes internautes, alors ciblés par des algorithmes qui ne prennent pas toujours en compte l’âge des utilisateurs. 

Le Royaume-Uni mise sur la dissuasion

Face au Digital Services Act, la proposition de loi britannique est toutefois plus dissuasive. La somme maximale d’une amende peut atteindre 18 millions de livres sterling ajoutées à 10 % du chiffre d’affaires annuel en cas de désaccord avec l’Ofcom, l’autorité régulatrice des télécommunications du Royaume-Uni. L’Union européenne reste, quant à elle, plus frileuse et plafonne ses sanctions à 6 % du chiffre d’affaire des plateformes concernées. 

Si la position des Britanniques se veut ferme, la question de l’application met à mal cette volonté politique comme le précise la spécialiste en protection des données personnelles. « Je n’ai pas l’impression que les sanctions britanniques sont applicables. Il est difficile d’envisager que le gouvernement britannique se lance seul dans une bataille juridique contre Google, Amazon ou Facebook  », souligne-t-elle. 

Enfin, un autre incertitude reste à préciser. La définition de « contenu préjudiciable » est laissée à la discrétion des entreprises aussi bien dans la proposition européenne que dans la proposition britannique. Il est indiqué dans le texte européen que « le DSA ne doit pas définir ce qu’il est entendu par “préjudiciable” (“harmful”) […] car il s’agit d’un sujet délicat pouvant avoir de graves conséquences sur la liberté d’expression. » Du côté britannique, le terme « harmful » est utilisé à 111 reprises, sans être clairement défini.

Absence de représentant légal et difficile respect des règles

L’importance grandissante des protagonistes de la scène numérique peut décourager les gouvernements à imposer des sanctions. Si le DSA et l’Online Safety Bill prévoient une application territoriale et extra-territoriale pour tout fournisseur souhaitant cibler le marché européen et britannique, l’Online Safety Bill reste vague quant aux mécanismes d’application des sanctions prévues. Le règlement européen oblige les entreprises étrangères de nommer un représentant légal, ce qui n’est pas le cas au Royaume-Uni.

Marine Brogli émet des doutes au sujet de l’efficacité de la réglementation britannique. « Étant donné il n’y a pas de mécanisme comprenant une représentation territoriale britannique, il faudra se référer aux règles de droit international privé en cas de litige », explique-t-elle avant de conclure, « il est très difficile de rendre un titre et un jugement exécutoire dans un autre pays car en réalité, en l’absence d’accord bilatéral entre les deux pays, il n’est pas certain que les sanctions prévues rentrent en application. »

Un long travail reste à effectuer pour que ces propositions deviennent loi. Selon les propos de la consultante au Carnegie UK Trust Maeve Walsh recueillis par le Financial Times, le Online Safety Bill ne devrait être « pleinement opérationnel » qu’en 2024.