Comment articuler les obligations du Règlement général sur la protection des données (RGPD) et celles du règlement sur les services numériques (Digital Services Act, DSA) ? C'est sur cette question que s'est penché le Comité européen de la protection des données (EDPB). Celui, qui veille à l'application cohérente du RGPD, vient de publier des lignes directrices pour accompagner les plateformes en ligne dans leur mise en conformité.
Pour rappel, le DSA vise à encadrer et à responsabiliser les plateformes en ligne, en matière de lutte contre les contenus illégaux, de publicité ciblée et de modération des contenus. Plusieurs services en ligne ont été désignés en tant que "très grandes plateformes en ligne" (VLOP) et les "très grands moteurs de recherche en ligne" (VLOSE), tels que AliExpress, Amazon, Google Maps, Instagram, LinkedIn, Shein ou encore Snapchat. Ils doivent respecter des obligations plus strictes.
En cas de signalement, ne pas révéler l'identité du notifiant
Le Comité apporte des précisions en matière d'obligation de notification et d'action pour signaler les contenus illégaux (articles 16 et 17 du DSA). Traiter ces signalements implique souvent la collecte de données personnelles : identité du notifiant, informations liées au contenu, adresses de contact des utilisateurs affectés...
L'EDPB rappelle que ces traitements doivent être proportionnés et nécessaires. Autrement dit, les plateformes ne doivent pas exiger plus de données que ce qu'impose le DSA. De plus, l'identité du notifiant ne peut être révélée qu'en cas de stricte nécessaire, par exemple pour constater une contrefaçon.
Les règles à respecter en matière de décisions automatisées
Le Comité rappelle également les règles à respecter à propos des systèmes de recommandation, qui sont directement visés par le DSA. Lorsqu'ils reposent sur le profilage, ils tombent sous le coup de l'article 22 du RGPD sur les décisions automatisées. Ainsi, les plateformes doivent offrir des alternatives non basées sur le profilage et présenter ces options de manière neutre, sans pousser vers la personnalisation.
En outre, les plateformes doivent expliquer clairement les paramètres qui influencent la mise en avant des contenus et permettre à l'utilisateur de les modifier.
De plus, l'article 28 du DSA impose aux plateformes accessibles aux mineurs d'assurer un haut niveau de sécurité et de confidentialité. Concrètement, cela interdit la publicité ciblée par profilage dès lors qu'un service sait "avec une certitude raisonnable" qu'il a affaire à un mineur.
Avoir des mécanismes de vérification de l'âge respectueux de la vie privée
Enfin, les mécanismes de vérification d'âge ne doivent pas conduire à des collectes excessives de données, comme l'usage systématique des pièces d'identité. Ils doivent rester proportionnés et respectueux du principe de minimisation, selon lequel seules les informations nécessaires doivent être collectées.
Si le DSA crée de nouveaux régulateurs nationaux et confie à la Commission européenne un rôle central pour superviser les grandes plateformes, il ne prévoit pas toujours de coordination directe avec les autorités de protection des données, comme la Commission nationale de l'informatique et des libertés (Cnil) en France. Face à ce constat, l'EDPB encourage les Etats membres à instaurer des mécanismes de coopération pour éviter les incohérences et les doubles sanctions.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
