DSA : Surveiller la mise en oeuvre I Rapport sur les obligations de confidentialité et de non-divulgation dans le DSA (30 mars 2023)
13 avril 2023

Accueil I #DSA-DMA I DSA : Surveiller la mise en oeuvre I Rapport sur les obligations de confidentialité et de non-divulgation dans le DSA (30 mars 2023)

Nous avons examiné les obligations de confidentialité et de non-divulgation dans l’ensemble du règlement DSA, tant dans les considérants que dans les articles spécifiques, afin de trouver une réponse ou un fondement à la déclaration de la Commission, selon laquelle « les mesures d’exécution à l’encontre des entreprises individuelles sont soumises à des exigences de confidentialité ». Sur la base de cet examen, nous estimons que cette affirmation est une interprétation erronée et qu’il n’existe aucune base dans le DSA qui affirme que les mesures d’exécution prises à l’encontre des fournisseurs de services pourraient être « confidentielles » et non publiques.

L’article principal qui fait référence aux obligations de confidentialité est l’article 40 sur l’Accès aux données et le contrôle des données (et plus précisément les paragraphes 2, 5, 8 et 13 de cet article). Les autres articles qui mentionnent les obligations de confidentialité sont l’article 42 sur les Obligations en matière de rapports de transparence, l’article 55 sur les rapports d’activité, l’article 79, paragraphe 4, sur le Droit d’être entendu et droit d’accès au dossier, et l’article 80, paragraphe 2, sur la Publication des décisions.

Nous avons passé en revue tous les articles et considérants du DSA qui renvoient aux notions de confidentialité et de non-divulgation, mais aucun ne peut servir de fondement incontestable à l’affirmation selon laquelle « les mesures d’exécution prises à l’encontre d’entreprises individuelles sont soumises à des exigences de confidentialité ».

  • Les articles du DSA pertinents en ce qui concerne la confidentialité et qui servent de fondement potentiel à cette déclaration sont l’article 40 et l’article 79. Toutefois, ces articles ne signifient pas que les mesures d’exécution prises à l’encontre des fournisseurs de services sont confidentielles. En réalité, les articles 40 et 79 du DSA énoncent simplement que certaines informations recueillies dans le cadre du contrôle des fournisseurs de services ou lors d’enquêtes menées à l’égard des fournisseurs de services sont soumises à des obligations de confidentialité. 
  • Rien dans le règlement ne suggère que les mesures d’exécution prises à l’encontre des fournisseurs de services ne doivent pas être rendues publiques. Au contraire, il existe des obligations explicites en matière de publication des décisions d’exécution. 
  • Une autre disposition qui pourrait être pertinente concerne la lutte contre les contenus illicites. Le considérant 34 mentionne spécifiquement les enquêtes menées par les services répressifs et les « demandes de traitement confidentiel concernant la non-divulgation d’informations émanant des autorités répressives ». Cette non-divulgation s’inscrit dans le cadre de l’enquête et de la lutte contre les contenus illicites. Il ne s’agit donc pas de mesures coercitives à l’encontre du fournisseur de services, mais c’est peut-être cela qui a donné lieu au malentendu.

Nous détaillons ci-dessous chacun des articles et des considérants du DSA concernés.

1. Obligations en matière d’accès aux données et de confidentialité (article 40 et considérant 97)

Les fournisseurs de services de très grandes plateformes en ligne ou de très grands moteurs de recherche (les fournisseurs de services) ont l’obligation de fournir des informations au coordinateur pour les services numériques de l’Etat membre de l’établissement (CSN) ou à la Commission européenne à la suite d’une demande motivée de données « nécessaires pour contrôler et évaluer le respect du présent règlement », conformément à l’article 40, paragraphe 1. Le CSN et la Commission sont tenus, lors de l’utilisation de ces données, de respecter les droits et les intérêts des fournisseurs de services, y compris « la protection des informations confidentielles, en particulier les secrets d’affaires », conformément à l’article 40, paragraphe 2.

L’article 40 prévoit également que le CSN peut demander aux fournisseurs de services de permettre à des chercheurs agréés d’avoir accès à des données permettant d’évaluer « la détection, le recensement et la compréhension » des risques systémiques.  Les fournisseurs de services peuvent demander au CSN que la demande soit modifiée s’ils considèrent ne pas être en mesure de fournir l’accès aux données demandées, et ce pour des raisons qui incluent « la protection des informations confidentielles » (article 40, paragraphe 5, point b).

Analyse de l’Institut sur ces obligations au titre de l’article 40

Aucune des demandes d’accès aux données visées à l’article 40 ne porte sur des mesures d’exécution en tant que telles, mais sur le contrôle du respect du DSA par les fournisseurs de services. Il serait donc un peu exagéré de les qualifier de « mesures d’exécution ». 

Ces demandes d’accès aux données sont soumises à des exigences de confidentialité. Toutefois, l’obligation de confidentialité ne signifie pas que ces demandes de données sont confidentielles. La confidentialité concerne le contenu des réponses, la question de savoir si elles contiennent des informations confidentielles, ainsi que la façon dont elles doivent être traitées par la Commission, le CSN ou les chercheurs afin de respecter les droits et les intérêts des fournisseurs de services.

Par conséquent, cela ne semble pas constituer une base solide pour l’affirmation selon laquelle « les mesures d’exécution sont soumises à des exigences de confidentialité », à moins que cela n’ait été incorrectement interprété ou déformé par la Commission.

2. Droits procéduraux dans les mesures d’exécution (article 79, considérant 116 et considérant 146)

Le chapitre du DSA sur l’exécution ne prévoit pas qu’une mesure d’exécution soit confidentielle, mais il fait mention de la confidentialité en ce qui concerne les droits procéduraux dans les enquêtes.

Le considérant 116 prévoit que « avant qu’une décision définitive soit prise, il convient de garantir une procédure préalable, équitable et impartiale, y compris le droit des personnes concernées d’être entendues et d’avoir accès au dossier, dans le respect de la confidentialité et du secret professionnel et d’affaires, ainsi que l’obligation de dûment motiver les décisions ».

Le considérant 146 se lit comme suit : « Il convient que le fournisseur de services de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne en cause ainsi que les autres personnes soumises à l’exercice des pouvoirs de la Commission dont les intérêts peuvent être affectés par une décision, aient la possibilité de présenter leurs observations au préalable, et une large publicité des décisions prises devrait être assurée. Tout en garantissant les droits de la défense des parties concernées, et notamment le droit d’accès au dossier, il est indispensable de préserver la confidentialité des informations. En outre, tout en respectant la confidentialité des informations, la Commission devrait veiller à ce que toute information invoquée aux fins de sa décision soit divulguée dans une mesure permettant au destinataire de la décision de comprendre les faits et considérations qui ont conduit à celle-ci ».

Les enquêtes menées à l’encontre des fournisseurs de services pour faire respecter le DSA sont couvertes par l’article 65 relatif à l’« Exécution des obligations des fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne », qui précise quand et comment la Commission peut exercer ses pouvoirs d’enquête, et par l’article 66 sur les « Procédures engagées par la Commission et (la) coopération à l’enquête ». Aucun de ces articles ne contient de dispositions relatives à la confidentialité.

L’obligation de confidentialité est mentionnée dans l’article 79, paragraphe 4, relatif au « Droit d’être entendu et droit d’accès au dossier ». Cet article concerne les droits de la défense et la confidentialité des informations fournies par les différentes parties impliquées dans l’enquête (le fournisseur de services, les tiers, la Commission, le CSN et les autres autorités compétentes des États membres). Il prévoit un droit de confidentialité limité pour certaines informations.

Article 79, paragraphe 4.

Les droits de la défense des parties concernées sont pleinement respectés dans le déroulement de la procédure. Les parties ont le droit d’avoir accès au dossier de la Commission conformément aux modalités d’une divulgation négociée, sous réserve de l’intérêt légitime du fournisseur de services de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne concerné ou d’une autre personne concernée à ce que leurs secrets d’affaires ne soient pas divulgués. La Commission est habilitée à adopter des décisions fixant ces modalités de divulgation en cas de désaccord entre les parties. Le droit d’accès au dossier de la Commission ne s’étend pas aux informations confidentielles ni aux documents internes de la Commission, du comité, des coordinateurs pour les services numériques, d’autres autorités compétentes ou d’autres autorités publiques des États membres. En particulier, le droit d’accès ne s’étend pas à la correspondance entre la Commission et ces autorités. Aucune disposition du présent paragraphe n’empêche la Commission de divulguer et d’utiliser les informations nécessaires pour apporter la preuve d’une infraction ».

Analyse de l’Institut sur cette obligation de confidentialité

Le droit à la confidentialité fait partie des droits procéduraux en matière d’enquête, ce qui expliquerait la déclaration selon laquelle « les mesures d’exécution prises à l’encontre d’entreprises individuelles sont soumises à des exigences de confidentialité ». Toutefois, cela ne signifie pas que les mesures d’exécution prises par les autorités publiques à l’encontre des fournisseurs de services sont confidentielles. Au contraire, ces décisions doivent être rendues publiques. L’obligation de confidentialité doit plutôt être entendue comme l’obligation de soumettre certains documents du dossier, ainsi que le droit d’accès à ces documents, à des exigences de confidentialité (notamment le respect des secrets d’affaires).

3. Injonctions d’agir contre des contenus illicites

La seule référence à la notion de confidentialité en matière d’exécution est faite dans le cadre de la lutte contre les contenus illicites, par les autorités nationales, en vertu du droit national de procédure pénale et du droit de l’Union applicable. 

Le considérant 34 énonce que « Les conditions et exigences énoncées dans le présent règlement qui s’appliquent aux injonctions d’agir contre des contenus illicites sont sans préjudice d’autres actes de l’Union prévoyant des systèmes similaires visant à agir contre des types spécifiques de contenus illicites. Ces conditions et exigences devraient être sans préjudice des règles de conservation et de préservation prévues par le droit national applicable, en conformité avec le droit de l’Union et avec les demandes de traitement confidentiel concernant la non-divulgation d’informations émanant des autorités répressives. Ces conditions et exigences ne devraient pas faire obstacle à la possibilité, pour les États membres, d’exiger d’un fournisseur de services intermédiaires qu’il prévienne une infraction, en conformité avec le droit de l’Union, y compris le présent règlement, et en particulier avec l’interdiction des obligations générales de surveillance ».

Analyse de l’Institut sur cette obligation

Ce considérant indique que certaines mesures d’exécution prises à l’encontre d’entreprises individuelles sont confidentielles. Toutefois, le champ d’application est limité aux enquêtes sur les contenus illicites, plutôt qu’à une enquête confidentielle sur le respect du DSA par le fournisseur de services.

4. Autres dispositions du DSA relatives à la confidentialité

Les autres dispositions relatives à la confidentialité et à la non-divulgation ne concernent pas le fait de ne pas révéler qu’un fournisseur de services fait l’objet d’une enquête. Ces autres dispositions concernent l’audit, les rapports et les publications. Par conséquent, rien n’indique qu’une enquête sur un fournisseur de services soit confidentielle.

Conclusion de L’Institut

L’Institut est inquiet de cette position, car si la commission se prévaut déjà d’une nécessaire confidentialité alors qu’il ne s’agit à ce point que de décider quelles plateformes sont des VLOPs, qu’en sera-t-il quand elle leur appliquera les dispositions issues du DSA.

Jean-Marie Cavada

Jean-Marie Cavada

Président de l’iDFrights

Marin De Nebehay

Colette Bouckaert

Secrétaire Générale de l’iDFrights

Retrouvez plus d'articles sur : confidentialité | DSA | obligations

Suivez-nous

Sur Linkedin

Plus d’articles

Que se cache-t-il derrière le projet « Villers-Cotterêts » ?

Que se cache-t-il derrière le projet « Villers-Cotterêts » ?

Le 22 mai dernier, le consortium ArGiMi remportait l’appel à projet « Communs numériques pour l’Intelligence artificielle (IA) générative » que Bpifrance avait publié en octobre 2023 dans le cadre de « France 2030 », le programme phare de soutien aux investissements des entreprises françaises visant à 1) Réindustrialiser la France, 2) Atteindre les objectifs climat 2030, et 3) Assurer l’émergence et la croissance des startups Deeptech françaises. Vaste programme pour lequel Bpifrance dispose de vastes moyens, puisque la banque publique d’investissement peut compter sur ses fonds propres, mobiliser ceux de l’État et doit s’attacher à permettre l’émergence de fonds privés thématiques, avec l’objectif d’injecter pas moins de 5 Md€ entre 2024 et 2028 dans des projets d’IA tous métiers confondus.

lire plus
Analyse de la faisabilité des programmes proposés par les 7 principales listes en vue de l’élection Européenne du 9 juin 2024 – Partie 1 : Les propositions sur le fonctionnement des institutions de l’UE

Analyse de la faisabilité des programmes proposés par les 7 principales listes en vue de l’élection Européenne du 9 juin 2024 – Partie 1 : Les propositions sur le fonctionnement des institutions de l’UE

iDFrights a réalisé une synthèse des programmes des différentes listes de candidats aux élections européennes, en se concentrant sur celles dont les estimations de votes dépassent les 5%, seuil nécessaire pour envoyer des eurodéputés à Bruxelles. Dans cette analyse nous nous sommes particulièrement attachés à deux chapitres clés de ces programmes : le fonctionnement des institutions européennes et les positions concernant les nouvelles technologies et les médias. Notre objectif était d’examiner les thèmes phares abordés par chaque liste dans ces domaines, afin de mieux comprendre leurs orientations et leurs priorités.

lire plus