Loi SREN, Digital Services Act , Digitale Dienste Gesetz ou encore Online Safety Bill : quels impacts pour les entreprises ?

L'Union Européenne et son marché unique sont le cadre d'une économie de plus en plus numérisée. Les précédentes lois européennes sur le sujet dataient du début des années 2000 et n'étaient plus adaptées car ne prenant pas en compte les bouleversements induits par les progrès de l'industrie du logiciel.

Avec le DSA, L'Union Européenne vise à renforcer les droits des citoyens européens lorsqu'ils utilisent des outils numériques en ligne. Ses principaux objectifs sont les suivants :
●    La sécurité en ligne des utilisateurs, notamment vis à vis de contenus illicites ou de la désinformation.
●    Renforcer la responsabilité des plateformes et intermédiaires en ligne, en particulier en ce qui concerne les contenus publiés sur leurs sites.
●    Promouvoir la transparence des pratiques de modération des contenus et des algorithmes.

Ces objectifs concernent bien sûr le fonctionnement des plateformes en ligne ouvertes au grand public comme les réseaux sociaux, les App Stores pour devices mobiles, les services de cartographie etc.

Mais les objectifs et dispositions du DSA s'appliquent aussi aux outils en ligne professionnels. Une plateforme comme Github (plus de 100 millions d'inscrits depuis 2023) qui propose un ensemble de services dédiés aux activités de conception et développement de logiciels est aussi concernée par les obligations créées par cette loi européenne.

En réalité, le Digital Services Act a un impact sur toutes les activités numériques de gestion de contenus. Les entreprises qui utilisent des ECM doivent désormais s'interroger plus spécifiquement sur la nature des contenus sous l'angle de leur légalité. Dans le cas d'un service ECM hébergé dans un Cloud, les règles régissant son exploitation peuvent être ré-examinées, le fournisseur de services Cloud étant désormais considéré comme responsable des contenus stockés et publiés sur ses plateformes.

Cependant, le DSA s'applique au sein de chaque état membre de l'UE au travers de législations nationales qui transposent ce texte dans la loi de l’état membre. En France, cette transposition a été faite au sein de la loi Sécurité des Réseaux et des Systèmes d'Information dite loi SREN promulguée le 21 mai 2024.

Or cette transposition du texte européen en droit français a fait l'objet d'enrichissements qui créent des obligations supplémentaires pour les entreprises travaillant sur le sol français.

Les textes européens s'appliquant à l'ensemble des états membres (sauf dérogation), la loi SREN reprend les grands principes énoncés par le DSA et résumés plus haut. Elle définit par exemple les différentes entités et services de l'État qui ont autorité sur tel ou tel aspect du texte. Si la CNIL conserve la haute main sur la protection des données personnelles, l'ARCOM devient le coordinateur des services numériques et l'autorité sur les places de marchés numériques est confiée à la DGCCRF.

La loi SREN va cependant plus loin que le texte européen. Elle renforce certains droits du grand public, notamment pour lutter contre la désinformation, mais prend aussi des dispositions qui ont un impact direct sur la vie des entreprises.

Les services Cloud sont notamment directement visés par la loi française qui stipule une obligation d'interopérabilité pour les services proposés par les différents acteurs français (ou hors Europe) du marché ainsi que des frais plafonnés pour certains services – migration de données entre autres.

Le fournisseur d'un service ECM en SaaS doit maintenant prendre en compte les obligations qui découlent de la loi SREN.  Les standards adoptés sur la plateforme Cloud doivent être aussi ouverts que possible pour favoriser l'interopérabilité. Les API mises à disposition des clients doivent, elles aussi, être ouvertes et correctement documentées.

La loi SREN pose en réalité des obstacles nombreux aux pratiques du « vendor lock-in » qui consiste à enfermer un client dans un environnement technologique dont il est coûteux de sortir, plus coûteux que les éventuels gains qui découleraient de la migration vers une autre plateforme.

A cote des aspects purement technologiques abordés par la loi, cette dernière vise aussi à réguler voire changer certains modèles économiques liés au Cloud. Fournisseurs et clients vont donc être amenés à faire évoluer leurs relations.

Pour résumer, une bonne connaissance des dispositions du DSA européen n'est pas suffisant pour garantir aux entreprises une pratique conforme à la loi. Les textes nationaux qui transposent les lois européennes doivent aussi être étudiés car ils peuvent créer des obligations et droits supplémentaires.

Mais ce focus ne peut toutefois pas se limiter à l'étude approfondie des textes européens et de la loi nationale pour une entreprise dont l'activité se déploie au sein du marché unique européen.

Comme rappelé plus haut, chaque état membre a transposé les dispositions européennes dans son droit national. Les textes pouvant être enrichis à partir de la base commune, les droits et obligations qui découlent du DSA pour une entreprise peuvent quelque peu varier selon le lieu où cette activité se déroule.

En Allemagne, la transposition du DSA dans le droit national s'est fait dans la loi Digitale Dienste Gesetz dite DDG en mai 2024.

Les lois française (SREN) et allemande (DDG), bien que transposant toutes les deux une même loi européenne, ont en pratique des approches assez différentes. Par exemple, la loi allemande se focalise principalement sur la régulation des plateformes en ligne, alors que la loi française inclut des dispositions sur la résilience des systèmes d'information et met un place un cadre légal pour la coopération des secteurs publics et privés.

Contrairement au texte français, la régulation des services Cloud est – pour le moment – totalement absente du texte allemand. Une entreprise dont l'activité se déroule à la fois en France et en Allemagne va donc devoir être attentive et faire la différence sur ce qui se passe dans ses activités Cloud d'un côté ou de l'autre du Rhin.  

Pour conclure partiellement, comme bien des textes européens, les lois européennes sur l'économie numérique ont pour objectif d'harmoniser les règles au sein du marché unique mais il est important de bien prendre en compte les spécificités nationales.

Le Royaume Uni, par sa proximité géographique et l'intégration de son économie avec celles des autres pays européens, est un marché important pour nombre d'entreprises européennes.

Mais depuis la décision du Royaume Uni de sortir de l'Union Européenne, les entreprises qui ont une activité sur le marché britannique doivent à la fois respecter les textes européens mais aussi regarder avec plus d'attention encore la législation nationale. En effet, le Royaume Uni n'étant plus un état membre, ses obligations de transposer le droit européen dans sa législation nationale n'existent plus automatiquement. Tout découle des traités internationaux signés entre ce pays et l'Union Européenne.

Le texte de loi britannique qui traite des sujets couverts par le DSA européen s'appelle l'Online Safety Bill. Si le texte britannique reprend en réalité les dispositions européennes et s'inspire de sa philosophie, son champ d'application est toutefois plus vaste : il s'applique également aux services de messageries ainsi qu'aux plates-formes de partage de contenus vidéo.

L'utilisation de plus en plus massive de logiciels de messagerie instantanée dans le milieu professionnel oblige de ce fait toute entreprise présente sur le marché britannique qui utiliserait les services d'un Slack, Discord ou Microsoft Teams (par exemple) doit s'assurer que ces usages sont conformes avec les dispositions de l'Online Safety Bill britannique.

Dernier détail mais non des moindres : les sanctions en cas de violation de la loi incluent la possibilité d'engager la responsabilité pénale du dirigeant de l'entreprise en faute.

Le DSA est un texte européen. Mais il intègre des dispositions d'extraterritorialté qui placent toute entreprise, même non européenne, sous sa coupe dès lors que son activité fournit des services aux citoyens européens et ce, même si ces services sont proposés depuis des pays en dehors de l'Union Européenne. Les géants du numérique (GAFAM) ont pour la plupart d'entre eux des serveurs en dehors du territoire de l'Union. Cependant, la loi européenne stipule qu'elle s'applique tout de même à ces entreprises.

La taille du marché unique de l’Union Européenne est telle que les multinationales ne peuvent s'en retirer. Même si la législation nationale dont elles dépendent ne prévoit aucune obligation similaire au DSA, ces entreprises ont dans les faits largement commencé à intégrer le droit européen dans leurs pratiques. Afin de ne pas avoir à se conformer à des lois différentes selon la partie du monde ou elles développent leurs activités, ces entreprises font à leur tour un lobbying significatif pour que des législations similaires soient adoptées dans le reste du monde.

Les entreprises de pays hors UE se conforment au DSA donc à la loi SREN française dans leurs activités sur le sol français.

Toutefois, toute entreprise qui souhaite développer son activité à l'international dans des domaines régulés par le DSA européen doit faire preuve d'une vigilance accrue intégrant un suivi des législations locales mais s'attendre à des difficultés à se référer au texte européen en cas de litiges sur des actions qui se déroulent hors du territoire de l'UE.

Pour conclure, les dispositions du Digital Services Act européen s'appliquent désormais à toutes les activités qu'il régule, que ces entreprises soient de très larges plateformes en ligne – telles que les GAFAM – ou des opérateurs nationaux de taille plus modeste. L'accent mis sur la protection et la sécurité du grand public ne doit pas faire oublier aux entreprises, qu'elles soient acteurs du marché ou clientes que le DSA, notamment dans ses déclinaisons nationales, crée des obligations et des droits très concrets dont l'impact sur certains secteurs de l'économie numérique sera très réel.

Tout comme pour le célèbre RGPD dans la seconde moitié des années 2010, le temps est venu de s'adapter. Rapidement.