Le Digital Services Act (DSA) – l’amélioration du régime de notification de contenus illicites et la limite de la procédure de l’article 6-3 de la LCEN
Adopté le 19 octobre 2022 et entré en vigueur le 16 novembre 2022, le règlement sur les services numériques (DSA) vise à rendre illégaux en ligne les actes qui sont illégaux dans le monde réel et impose de nouvelles obligations aux fournisseurs de services d’hébergement, en particulier aux grandes plateformes en ligne, en matière de prévention des contenus illicites.
A la différence de la directive européenne sur le commerce électronique 2000/31 de 2000, le DSA est un règlement de l’UE et a donc un caractère contraignant direct (applicabilité directe) pour les États membres. Elle s’intègre donc dans l’ordre juridique français sans qu’il soit nécessaire de le transposer en droit national, et les tribunaux français peuvent rendre des jugements en appliquant directement le DSA.
Le DSA, qui s’applique à toutes les plateformes en ligne et à tous les prestataires de services d’intermédiaire sur Internet depuis le 17 février 2024, impose notamment aux fournisseurs de services d’hébergement (y compris les plateformes en ligne (article 3, point i), du DSA) l’obligation de mettre en place un nouveau système de notification de contenus illicites et de traitement des notifications (article 16), ainsi que l’obligation de motiver les restrictions d’accès ou de publication imposées aux contenus illicites (article 17), et vise à résoudre les problèmes liés au régime de notification prévu par la loi LCEN, qui a transposé la directive européenne 2000/31/CE sur le commerce électronique de 2000.
Le DSA prévoit également, compte tenu du rôle important que jouent les plateformes en ligne dans la diffusion de contenus illicites, l’obligation de mettre en place un nouveau système de modération des contenus diffusés (articles 20 à 23 du DSA) ; elle impose en outre des règles spécifiques en matière de gestion des risques systémiques aux grandes plateformes en ligne et aux grands moteurs de recherche dont le nombre moyen d’utilisateurs mensuels est supérieur à 45 millions et qui ont été désignés par la Commission européenne le 15 avril 2023 (articles 33 à 43) .
I. Amélioration du système de notification nécessaire pour engager la responsabilité des fournisseurs d’accès et des opérateurs de plateformes concernant les contenus illicites qu’ils transmettent, stockent ou diffusent
La directive 2000/31/CE sur le commerce électronique de 2000 a établi le principe selon lequel les fournisseurs d’accès à Internet et les hébergeurs ne peuvent être tenus responsables, ni civilement ni pénalement, des contenus illicites qu’ils transmettent ou stockent, à condition qu’ils n’aient pas eu connaissance de ces actes ou contenus illicites (article 15 de la directive 2000/31). Les personnes ayant subi un préjudice du fait d’actes ou de contenus illicites sur des plateformes telles que YouTube, Facebook ou Twitter doivent donc effectuer la notification de ces actes illicites auprès de ces fournisseurs afin de prouver que ceux-ci avaient connaissance de ces actes mais n’ont pas pris les mesures nécessaires pour y mettre fin. Si cette notification n’est pas effectuée, toute action en dommages-intérêts ou plainte pénale à l’encontre du fournisseur est irrecevable.
Avant l’entrée en vigueur de la loi DSA, toute personne victime d’actes ou de contenus illicites sur Internet devait signaler ces actes ou contenus aux fournisseurs d’accès conformément aux dispositions de l’article 6 I 5 de la loi pour la confiance dans l’économie numérique (loi LCEN), qui a transposé la directive 2000/31/CE sur le commerce électronique dans le droit national.
Les éléments devant obligatoirement figurer dans la notification d’actes ou de contenus illicites adressée au fournisseur d’accès, tels que prévus par l’article 6 I 5 de la loi LCEN, sont les suivants (comparaison avant et après la modification apportée par la loi Avia du 24 juin 2020) :
| Avant le 26 juin 2020 | Après le 26 juin 2020 | |
| Date | Date de la notification | |
| Identité du notifiant | Personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance
Personne morale : sa forme, sa dénomination, son siège social et l’organe qui la représente légalement |
Personne physique : ses nom, prénom, adresse électronique
Personne morale : sa forme sociale, sa dénomination sociale, son adresse électronique Autorité administrative : sa dénomination et son adresse électronique |
| Destinataire de la notification | Les nom et domicile du destinataire ou, s’il s’agit d’une personne morale, sa dénomination et son siège social | |
| Faits litigieux | La description des faits litigieux et leur localisation précise | La description du contenu litigieux, sa localisation précise et, le cas échéant, la ou les adresses électroniques auxquelles il est rendu accessible |
| Justification d’un motif légitime | Les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits | Les motifs légaux pour lesquels le contenu litigieux devrait être retiré ou rendu inaccessible |
| Document à annexer | La copie de la correspondance adressée à l’auteur ou à l’éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l’auteur ou l’éditeur n’a pu être contacté. | La copie de la correspondance adressée à l’auteur ou à l’éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l’auteur ou l’éditeur n’a pu être contacté. |
Dans la pratique, la victime (ou son avocat) devait rédiger une lettre mentionnant de manière exhaustive les mentions obligatoires prévues par cette disposition, l’envoyer au fournisseur d’hébergement concerné par lettre recommandé avec accusé de réception, afin d’obtenir la preuve de la date de notification de contenu illicite. Si l’une des mentions obligatoires prévues par cette disposition faisait défaut, la notification était considérée comme nulle et non avenue ; par conséquent, même si le fournisseur ne supprimait pas le contenu illicite, il n’était pas possible d’intenter une action en dommages-intérêts ni de porter plainte au pénal.
Les tribunaux français ont strictement interprété cette disposition, et la Cour de cassation a établi, dans deux arrêts rendus le 17 février 2011, le principe selon lequel, dès lors qu’une notification ne comportait pas tous les éléments requis, il n’était pas possible de prouver que le fournisseur avait connaissance du caractère illicite de l’acte ; par conséquent, même si le fournisseur ne supprimait pas le contenu illicite / contrefait ou retardait sa suppression, il ne pouvait être tenu pour responsable au titre de la responsabilité civile (arrêt AMEN, n° de pourvoi 09-15.857, arrêt DAILYMOTION, n° de pourvoi 09-67.896).
Arrêt Nintendo (Cour de cassation, chambre commerciale 26 février 2025, n°23-15966)
Cette jurisprudence a souvent été utilisée par les fournisseurs de services d’hébergement comme moyen de défense dans des procédures engagées par les victimes de contenus illicites sur Internet. Dans l’affaire Nintendo Co.Ltd, The Pokemon Company, Creatures Inc, Game Freak Inc v. DStorage, qui a duré sept ans depuis l’assignation en première instance jusqu’à l’arrêt de la Cour de cassation du 26 février 2025, l’avocat des sociétés Nintendo et Pokemon a notifié à la société DStorage l’existence des liens permettant le téléchargement de copies non autorisées des jeux vidéo, par lettre recommandée avec accusé de réception en janvier 2018. Assignée devant le TGI de Paris en mai 2018, la société DStorage a prévalu que les notifications effectuées par l’avocat des sociétés Nintendo et Pokemon ne remplissaient pas les conditions posées à l’article 6 I 5 de la LCEN, telles que la désignation du notifiant ou la justification de ce que l’auteur ou l’éditeur n’a pu être contacté. Le Tribunal judiciaire de Paris (jugement du 25 mai 2021, n°18/07397) et la Cour d’appel de Paris (arrêt du 12 avril 2023, n°21/10585) ont écarté ces moyens présentés par la société défenderesse, et considéré que les deux notifications adressées par l’avocat des sociétés Nintendo répondaient aux conditions de forme prescrites par l’article 6 I 5 de la LCEN. Le pourvoi de la société DStorage a été rejeté par la Cour de cassation dans son arrêt du 26 février 2025.
Dans cette affaire, il convient de noter que les sociétés Nintendo n’ont obtenu qu’une fraction des dommages-intérêts sollicités : bien que leur demande de 1 368 500 euros ait été partiellement acceptée par le Tribunal à hauteur de 935 500 euros, ce montant a été ultérieurement diminué par la Cour d’appel à 442 750 euros, ce qui représente seulement 32% du montant des dommages-intérêts qu’elles ont escomptés lors de l’introduction de l’instance à l’encontre de la société DStorage.
Le nouveau mécanisme de notification de contenu illicite
Afin de remédier cette difficulté liée à la notification de contenu illicite, le DSA impose désormais au fournisseur de service d’hébergement de mettre en place un dispositif de notification conforme à certaines exigences techniques et organisationnelles qui doit permettre de signaler des contenus illicites par voie électronique. En effet, tandis que la LCEN issue de la directive e-commerce exigeait que l’auteur de la notification énonce toute une série d’informations prescrites à l’article 6 I 5 par voie postale, le DSA impose désormais au fournisseur de service d’hébergement de mettre en place un dispositif technique de notification par voie électronique qui conduise à ce que les notifications soumises contiennent ces informations (article 16 du DSA).
À la suite à la notification de contenu illicite, le fournisseur de services d’hébergement est tenu de prendre sa décision de manière non arbitraire et objective, et d’agir dans un délai raisonnable (article 16 du DSA). Dans l’éventualité où il ne s’exécute pas, la victime de contenu illicite peut intenter une action en justice à l’encontre du fournisseur de services d’hébergement, sur le fondement du droit commun de la responsabilité délictuelle. Elle devra démontrer qu’elle a dûment effectué la notification du contenu illicite auprès du fournisseur de services d’hébergement mais que ce dernier n’a pas agi dans un délai raisonnable (CJUE 22 juin 2021, C-682/18 et C-683/18).
Le DSA prévoit à ce titre des procédures extrajudiciaires de règlement des litiges par des organes certifiés par le coordinateur pour les services numériques (l’ARCOM en France) dont la liste est publiée sur le site de la Commission européenne conformément à l’article 21 du DSA (voir la liste).
Attention, la saisine de ces organes n’interrompt pas la prescription de cinq ans pour engager la responsabilité du fournisseur de services d’hébergement.
II. La procédure pour obtenir le retrait ou la suppression de contenu illicite
L’ancien article 6 I 8 de la LCEN, qui prévoyait la procédure de référé ou de requête, pour demander « toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne », a été modifié par la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, qui a institué, pour la même demande, la procédure accélérée au fond devant le Président du tribunal judiciaire. Désormais, toute requête visant à obtenir le retrait ou la suppression de contenu illicite doit être présentée conformément à cette procédure, sous peine d’être déclarée irrecevable par le juge des référés (Cour d’appel, 17 février 2023, 22/09609, Trustpilot A/S v. SARL Rose Passion). Depuis la DSA, cette disposition figure à l’article 6-3 de la LCEN.
L’inadéquation de la procédure prévue à l’article 6-3 de la LCEN pour sanctionner les risques systémiques associés à une plateforme en ligne (l’affaire Shein)
Dans l’affaire Shein, l’Etat français a saisi, en novembre 2025, le Président du tribunal judiciaire de Paris statuant sur la procédure accélérée au fond, pour demander le blocage total du site Shein pour la vente de produits illicites, mais a été débouté de sa demande par le jugement du 19 décembre 2025 (communiqué de presse du Ministère de l’Economie),
par lequel le tribunal a considéré la mesure sollicitée par l’Etat français comme manifestement disproportionnée et portant atteinte injustifiée au droit de la liberté d’entreprendre. Le tribunal a fait droit à la demande subsidiaire de l’Etat et a ordonné à la société ISSL de ne pas rétablir la mise en vente de produits pornographiques en ligne sans la mise en place de mesures de vérification d’âge autres qu’une simple déclaration de majorité, sous astreinte provisoire de 10 000 euros par infraction constatée, pour une durée de 12 mois.
Devant la Cour d’appel, l’Etat français, qui ne demandait plus le blocage total du site mais la suspension de la seule marketplace pour trois mois sous contrôle de l’ARCOM, a à nouveau été débouté de sa demande dans un arrêt du 19 mars 2026 par lequel la Cour a confirmé « en toutes ses dispositions » le jugement de première instance (communiqué de presse de la Cour d’appel de Paris), en raison de l’absence de dommage actuel et de dommage futur certain suite au retrait des produits litigieux de sa plateforme par la société ISSL.
III. Le régime de gestion des risques systémiques – l’enquête contre Shein et la sanction encourue
Le DSA prévoit un régime spécifique de gestion des risques systémiques applicable aux très grandes plateformes en ligne (« very large online platforms (VLOPs) ») et très grands moteurs de recherche en ligne (« very large online search engines (VLOSEs) ») qui doivent recenser, analyser et évaluer de manière diligente tout risque systémique au sein de l’Union découlant de la conception ou du fonctionnement de leurs services et de leurs systèmes connexes, y compris des systèmes algorithmiques, ou de l’utilisation faite de leurs services (article 34 du DSA). En cas de manquement, la Commission peut infliger au fournisseur de très grande plateforme ou de très grand moteur de recherche en ligne des amendes jusqu’à concurrence de 6% de son chiffre d’affaires mondial annuel (article 74 du DSA).
En février 2026, la Commission européenne a formellement ouvert une enquête contre Shein en raison de sa conception addictive, du manque de transparence des systèmes de recommandation, ainsi que de la vente de produits illégaux, y compris de matériel pédopornographique.