keyboard_tab Digital Service Act 2022/2065 FR

1.   Les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne font l’objet d’audits indépendants, à leurs propres frais et au minimum une fois par an, pour évaluer le respect des points suivants:

a)	les obligations établies au chapitre III;

b)	tout engagement pris en vertu des codes de conduite visés aux articles 45 et 46 et des protocoles de crise visés à l’article 48.

2.   Les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne accordent aux organisations effectuant les audits en vertu du présent article la coopération et l’assistance requises pour leur permettre de réaliser ces audits en temps utile, de manière efficace et efficiente, notamment en leur donnant accès à toutes les données et à tous les locaux pertinents et en répondant aux questions orales ou écrites qui leur sont posées. Ils s’abstiennent d’entraver, d’influencer indûment ou de compromettre la réalisation de l’audit.

Ces audits garantissent un niveau adéquat de confidentialité et de secret professionnel en ce qui concerne les informations obtenues auprès des fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne et auprès de tiers dans le cadre des audits, y compris après la clôture de ces audits. Le respect de cette exigence ne porte toutefois pas atteinte à la réalisation des audits et aux autres dispositions du présent règlement, notamment celles concernant la transparence, la surveillance et l’exécution. S’il y a lieu, aux fins des rapports de transparence visés à l’article 42, paragraphe 4, le rapport d’audit et le rapport de mise en œuvre des recommandations d’audit visés aux paragraphes 4 et 6 du présent article sont accompagnés de versions qui ne contiennent pas d’informations qui pourraient raisonnablement être considérées comme confidentielles.

3.   Les audits réalisés conformément au paragraphe 1 le sont par des organisations qui:

a)

sont indépendantes du fournisseur de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne concerné et de toute personne morale liée à ce fournisseur et ne sont pas en situation de conflit d’intérêts avec ceux-ci; en particulier: i) elles n’ont pas fourni de service, autre que d’audit, en rapport avec l’objet de l’audit au fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne concerné ni à une personne morale liée à ce fournisseur au cours des douze mois précédant le début de l’audit, et elles se sont engagées à ne leur fournir aucun service de ce type au cours des douze mois suivant la clôture de l’audit; ii) elles n’ont pas fourni de services d’audit en vertu du présent article au fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne concerné ni à une personne morale liée à ce fournisseur pendant une période supérieure à dix années consécutives; iii) elles ne réalisent pas l’audit en échange d’honoraires qui dépendent des résultats de cet audit;

b)	possèdent une expertise avérée dans le domaine de la gestion des risques, des compétences techniques et des capacités;

c)	démontrent une objectivité et une éthique professionnelle avérées, fondées notamment sur l’adhésion à des codes de pratique ou à des normes appropriées.

4.   Les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne veillent à ce que les organisations qui réalisent les audits établissent un rapport d’audit à la suite de chaque audit. Ce rapport motivé est établi par écrit et comporte au moins les éléments suivants:

a)	le nom, l’adresse et le point de contact du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne faisant l’objet de l’audit et la période couverte;

b)	le nom et l’adresse de la ou des organisations réalisant l’audit;

c)	une déclaration d’intérêt;

d)	une description des éléments spécifiques faisant l’objet de l’audit, et la méthodologie appliquée;

e)	une description et une synthèse des principales conclusions tirées de l’audit;

f)	une liste des tiers consultés dans le cadre de l’audit;

g)

un avis d’audit sur le respect ou non par le fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne faisant l’objet de l’audit des obligations et des engagements visés au paragraphe 1, soit “positif”, soit “positif et assorti de commentaires”, soit “négatif”;

h)	lorsque l’avis d’audit n’est pas “positif”, des recommandations opérationnelles sur les mesures spécifiques à prendre pour la mise en conformité ainsi que le calendrier recommandé à cet effet.

5.   Lorsque l’organisation qui réalise l’audit n’a pas été en mesure de réaliser un audit à l’égard de certains éléments spécifiques ou d’émettre un avis d’audit sur la base de ses investigations, le rapport d’audit inclut une explication sur les circonstances et les raisons pour lesquelles ces éléments n’ont pas pu faire l’objet d’un audit.

6.   Les fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne qui reçoivent un rapport d’audit qui n’est pas “positif” tiennent dûment compte des recommandations opérationnelles qui leur sont adressées en vue de prendre les mesures nécessaires à leur mise en œuvre. Dans le mois à compter de la réception de ces recommandations, ils adoptent un rapport de mise en œuvre des recommandations d’audit énonçant ces mesures. S’ils ne mettent pas en œuvre les recommandations opérationnelles, ils en fournissent les motifs dans le rapport de mise en œuvre des recommandations d’audit et exposent les mesures alternatives prises pour résoudre tout cas de manquement recensé.

7.   La Commission est habilitée à adopter des actes délégués conformément à l’article 87 pour compléter le présent règlement en établissant les règles nécessaires à la réalisation des audits en vertu du présent article, notamment les règles nécessaires relatives aux étapes de la procédure, aux méthodes d’audit et aux modèles de rapport à utiliser pour les audits réalisés en vertu du présent article. Ces actes délégués tiennent compte de toute norme d’audit volontaire visée à l’article 44, paragraphe 1, point e).

1.   Les fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne créent une fonction de contrôle de la conformité, qui est indépendante de leurs fonctions opérationnelles et composée d’un ou de plusieurs responsables de la conformité, y compris le responsable de la fonction de contrôle de la conformité. La fonction de contrôle de la conformité dispose d’une autorité, d’une taille et de ressources suffisantes, ainsi que de l’accès à l’organe de direction du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne nécessaire pour contrôler le respect du présent règlement par ce fournisseur.

2.   L’organe de direction du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne veille à ce que les responsables de la conformité disposent des qualifications professionnelles, des connaissances, de l’expérience et des aptitudes nécessaires pour mener à bien les tâches visées au paragraphe 3.

L’organe de direction du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne veille à ce que le responsable de la fonction de contrôle de la conformité soit un cadre supérieur indépendant chargé spécifiquement de la fonction de contrôle de la conformité.

Le responsable de la fonction de contrôle de la conformité fait directement rapport à l’organe de direction du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne et peut faire part de ses préoccupations auprès de cet organe et l’avertir lorsque les risques visés à l’article 34 ou le non-respect du présent règlement affectent ou sont susceptibles d’affecter le fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne concerné, sans préjudice des responsabilités de l’organe de direction dans ses fonctions de surveillance et de gestion.

Le responsable de la fonction de contrôle de la conformité n’est pas démis de ses fonctions sans l’accord préalable de l’organe de direction du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne.

3.   Les responsables de la conformité sont investis des tâches suivantes:

a)	coopérer avec le coordinateur pour les services numériques de l’État membre d’établissement et la Commission aux fins du présent règlement;

b)	veiller à ce que tous les risques visés à l’article 34 soient recensés et dûment notifiés et à ce que des mesures d’atténuation des risques raisonnables, proportionnées et efficaces soient prises conformément à l’article 35;

c)	organiser et superviser les activités du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne en lien avec l’audit indépendant en vertu de l’article 37;

d)	informer et conseiller la direction et les employés du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne au sujet des obligations pertinentes au titre du présent règlement;

e)	contrôler le respect, par le fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne, de ses obligations au titre du présent règlement;

f)	le cas échéant, contrôler le respect, par le fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne, des engagements qu’il a pris au titre des codes de conduite en vertu des articles 45 et 46 ou des protocoles de crise en vertu de l’article 48.

4.   Les fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne communiquent le nom et les coordonnées du responsable de la fonction de contrôle de la conformité au coordinateur pour les services numériques de l’État membre d’établissement et à la Commission.

5.   L’organe de direction du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne détermine et supervise la mise en œuvre des dispositifs de gouvernance du fournisseur qui garantissent l’indépendance de la fonction de contrôle de la conformité, y compris la répartition des responsabilités au sein de l’organisation du fournisseur de la très grande plateforme en ligne ou du très grand moteur de recherche en ligne, la prévention des conflits d’intérêts et la bonne gestion des risques systémiques recensés conformément à l’article 34, et est tenu de rendre compte de cette mise en œuvre.

6.   L’organe de direction approuve et réexamine périodiquement, au moins une fois par an, les stratégies et les politiques relatives à la prise en compte, à la gestion, au suivi et à l’atténuation des risques recensés conformément à l’article 34 auxquels la très grande plateforme en ligne ou le très grand moteur de recherche en ligne est ou pourrait être exposé.

7.   L’organe de direction consacre suffisamment de temps à l’examen des mesures liées à la gestion des risques. Il participe activement aux décisions relatives à la gestion des risques et veille à ce que des ressources adéquates soient allouées à la gestion des risques recensés conformément à l’article 34.

1.   Le comité peut recommander à la Commission de lancer l’élaboration, conformément aux paragraphes 2, 3 et 4, de protocoles de crise volontaires pour faire face aux situations de crise. Ces situations sont strictement limitées à des circonstances extraordinaires affectant la sécurité publique ou la santé publique.

2.   La Commission encourage et facilite la participation des fournisseurs de très grandes plateformes en ligne, de très grands moteurs de recherche en ligne et, le cas échéant, les fournisseurs d’autres plateformes en ligne ou d’autres moteurs de recherche en ligne, à l’élaboration, aux essais et à l’application de ces protocoles de crise. La Commission s’efforce de garantir que ces protocoles de crise comprennent une ou plusieurs des mesures suivantes:

a)	afficher de manière bien visible les informations relatives à la situation de crise fournies par les autorités des États membres ou au niveau de l’Union ou, en fonction du contexte de la crise, par d’autres organes fiables concernés;

b)

veiller à ce que le fournisseur de services intermédiaires désigne un point de contact spécifique pour la gestion des crises; le cas échéant, il peut s’agir du point de contact électronique visé à l’article 11 ou, dans le cas de fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne, du responsable de la conformité visé à l’article 41;

c)	le cas échéant, adapter les ressources dédiées au respect des obligations établies aux articles 16, 20, 22, 23 et 35 aux besoins découlant de la situation de crise.

3.   La Commission associe, selon qu’il convient, les autorités des États membres et peut également associer les organes et organismes de l’Union à l’élaboration, aux essais et à la supervision de l’application des protocoles de crise. La Commission peut également, si nécessaire et selon qu’il convient, associer des organisations de la société civile ou d’autres organisations pertinentes à l’élaboration des protocoles de crise.

4.   La Commission s’efforce de garantir que les protocoles de crise établissent clairement l’ensemble des éléments suivants:

a)	les paramètres spécifiques utilisés pour déterminer ce qui constitue la circonstance extraordinaire spécifique à laquelle le protocole de crise entend répondre, ainsi que les objectifs qu’il poursuit;

b)	le rôle de chacun des participants et les mesures qu’ils doivent mettre en place à titre préparatoire et en cas d’activation du protocole de crise;

c)	une procédure claire pour déterminer le moment auquel le protocole de crise doit être activé;

d)	une procédure claire pour déterminer la période au cours de laquelle les mesures à prendre en cas d’activation du protocole de crise doivent être prises, qui est strictement limitée à ce qui est nécessaire pour faire face aux circonstances extraordinaires spécifiques concernées;

e)	les mesures de sauvegarde contre les effets négatifs éventuels sur l’exercice des droits fondamentaux consacrés dans la Charte, en particulier la liberté d’expression et d’information et le droit à la non-discrimination;

f)	une procédure pour communiquer publiquement sur les mesures adoptées, leur durée et leurs résultats lorsque la situation de crise a pris fin.

5.   Si la Commission considère qu’un protocole de crise ne répond pas de manière efficace à une situation de crise, ou ne sauvegarde pas l’exercice des droits fondamentaux comme prévu au paragraphe 4, point e), elle demande aux participants de réviser le protocole de crise, notamment en prenant des mesures complémentaires.

1.   Les États membres veillent à ce que les coordinateurs pour les services numériques accomplissent leurs missions au titre du présent règlement de manière impartiale, transparente et en temps utile. Les États membres veillent à ce que leurs coordinateurs pour les services numériques disposent de toutes les ressources nécessaires à l’accomplissement de leurs missions, y compris des ressources techniques, financières et humaines suffisantes pour surveiller correctement tous les fournisseurs de services intermédiaires relevant de leur compétence. Chaque État membre veille à ce que son coordinateur pour les services numériques dispose d’une autonomie suffisante dans la gestion de son budget dans les limites globales du budget, afin de ne pas porter atteinte à l’indépendance du coordinateur pour les services numériques.

2.   Lorsqu’ils accomplissent leurs missions et exercent leurs pouvoirs conformément au présent règlement, les coordinateurs pour les services numériques agissent en toute indépendance. Ils restent libres de toute influence extérieure, directe ou indirecte, et ne sollicitent ni n’acceptent aucune instruction d’aucune autre autorité publique ou partie privée.

3.   Le paragraphe 2 du présent article est sans préjudice des missions incombant aux coordinateurs pour les services numériques dans le cadre du système de surveillance et d’exécution prévu dans le présent règlement et de la coopération avec les autres autorités compétentes conformément à l’article 49, paragraphe 2. Le paragraphe 2 du présent article n’empêche pas l’exercice d’un contrôle juridictionnel et est également sans préjudice d’exigences proportionnées en matière de responsabilisation en ce qui concerne les activités générales des coordinateurs pour les services numériques, par exemple en ce qui concerne les dépenses financières ou les rapports à communiquer aux parlements nationaux, à condition que ces exigences ne portent pas atteinte à la réalisation des objectifs du présent règlement.

1.   Sauf dans le cas où la Commission a ouvert une enquête pour la même infraction alléguée, lorsqu’un coordinateur pour les services numériques d’un État membre de destination a des raisons de soupçonner que le fournisseur d’un service intermédiaire a enfreint le présent règlement d’une manière qui porte atteinte aux destinataires du service dans l’État membre dudit coordinateur pour les services numériques, il peut demander au coordinateur pour les services numériques de l’État membre d’établissement d’examiner la situation et de prendre les mesures d’enquête et d’exécution nécessaires pour assurer le respect du présent règlement.

2.   Sauf dans le cas où la Commission a ouvert une enquête pour la même infraction alléguée, et à la demande d’au moins trois coordinateurs pour les services numériques d’États membres de destination, ayant des raisons de soupçonner qu’un fournisseur de services intermédiaires spécifique a enfreint le présent règlement d’une manière qui porte atteinte aux destinataires du service dans leur État membre, le comité peut demander au coordinateur pour les services numériques de l’État membre d’établissement d’examiner la situation et de prendre les mesures d’enquête et d’exécution nécessaires pour assurer le respect du présent règlement.

3.   Toute demande formulée au titre du paragraphe 1 ou 2 est dûment motivée et indique au minimum:

a)	le point de contact du fournisseur de services intermédiaires concerné, tel qu’il est prévu à l’article 11;

b)

une description des faits pertinents, les dispositions concernées du présent règlement et les raisons pour lesquelles le coordinateur pour les services numériques à l’origine de la demande, ou le comité, soupçonne que le fournisseur a enfreint le présent règlement, y compris la description des effets négatifs de l’infraction alléguée;

c)

toute autre information que le coordinateur pour les services numériques à l’origine de la demande, ou le comité, considère comme pertinente, y compris, le cas échéant, des informations recueillies de sa propre initiative ou des suggestions de mesures d’enquête ou d’exécution spécifiques à prendre, y compris des mesures provisoires.

4.   Le coordinateur pour les services numériques de l’État membre d’établissement tient le plus grand compte de la demande formulée au titre du paragraphe 1 ou 2 du présent article. Lorsqu’il considère qu’il ne dispose pas de suffisamment d’informations pour agir sur la base de la demande et qu’il a des raisons de considérer que le coordinateur pour les services numériques à l’origine de la demande, ou le comité, pourrait fournir des informations complémentaires, le coordinateur pour les services numériques de l’État membre d’établissement peut soit demander ces informations conformément à l’article 57, soit lancer, en application de l’article 60, paragraphe 1, une enquête conjointe associant au moins le coordinateur pour les services numériques à l’origine de la demande. Le délai fixé au paragraphe 5 du présent article est suspendu jusqu’à l’obtention de ces informations complémentaires ou jusqu’à ce que l’invitation à participer à l’enquête conjointe ait été déclinée.

5.   Dans les meilleurs délais et en tout état de cause dans un délai maximal de deux mois suivant la réception de la demande formulée au titre du paragraphe 1 ou 2, le coordinateur pour les services numériques de l’État membre d’établissement communique au coordinateur pour les services numériques à l’origine de la demande, et au comité, l’évaluation de l’infraction présumée, ainsi qu’une explication de toute mesure d’enquête ou d’exécution prise ou envisagée dans ce cadre afin d’assurer le respect du présent règlement.