Les obligations des très grandes plateformes (VLOP)

Une très grande plateforme en ligne (VLOP) est une plateforme d'hébergement désignée par la Commission européenne en raison de son audience massive : au moins 45 millions d'utilisateurs actifs mensuels dans l'UE (soit environ 10 % de la population de l'UE). Les fournisseurs atteignant ce seuil doivent le notifier à la Commission, qui procède à la désignation formelle.

VLOP désignées à ce jour (liste non exhaustive) :

• Réseaux sociaux : Facebook, Instagram, TikTok, X (ex-Twitter), LinkedIn, Pinterest, Snapchat
• Plateformes vidéo : YouTube
• Places de marché : Amazon Marketplace, Zalando
• Moteurs de recherche (TGMRL) : Google Search, Bing
• Autres : Wikipedia, AppStore d'Apple (contesté)

Le régime VLOP s'ajoute aux obligations applicables à toutes les plateformes d'hébergement — il ne les remplace pas.

C'est l'obligation phare des VLOP. Elles doivent identifier, analyser et évaluer chaque année les risques systémiques liés à leur fonctionnement, notamment :

• La diffusion de contenus illicites (haine en ligne, désinformation, CSAM).
• Les effets négatifs sur les droits fondamentaux (vie privée, liberté d'expression, non-discrimination).
• Les risques pour les processus électoraux et le débat démocratique.
• Les effets négatifs sur la santé mentale des utilisateurs, notamment des mineurs.

À cette évaluation doit succéder un plan d'atténuation des risques (article 35), comprenant des mesures raisonnables et proportionnées : adaptation des algorithmes de recommandation, renforcement des systèmes de modération, outils de protection spécifiques pour les mineurs.

Les VLOP qui utilisent des systèmes de recommandation algorithmique doivent proposer aux utilisateurs au moins une option de recommandation non fondée sur le profilage. Autrement dit, l'utilisateur doit pouvoir choisir de voir du contenu non personnalisé.

Les VLOP doivent également publier, dans leurs conditions générales, une description claire et intelligible du fonctionnement de leurs systèmes de recommandation, notamment :

• Les paramètres principaux utilisés.
• La possibilité pour l'utilisateur de modifier ou désactiver ces paramètres.

Audit annuel obligatoire (article 37) : les VLOP doivent se soumettre à un audit indépendant annuel portant sur le respect de leurs obligations DSA, notamment l'évaluation des risques et les mesures d'atténuation. Le rapport d'audit est transmis à la Commission.

Accès aux données pour les chercheurs (article 40) : les VLOP doivent donner accès à leurs données aux chercheurs accrédités qui en font la demande, pour leur permettre d'étudier les risques systémiques. Cet accès est encadré (confidentialité, finalités de recherche) mais représente une rupture avec la pratique antérieure de cloisonnement des données.

Publicité ciblée (article 39) : les VLOP sont tenues de publier un registre accessible au public de toutes les publicités diffusées, incluant l'annonceur, la période de diffusion et les critères de ciblage utilisés. Le ciblage fondé sur des données sensibles ou ciblant les mineurs est interdit.

Contrairement aux autres fournisseurs supervisés par les CSN nationaux, les VLOP relèvent directement de la Commission européenne, qui dispose de pouvoirs étendus :

• Accès aux algorithmes, aux données internes et aux systèmes des VLOP.
• Pouvoir de mener des enquêtes et d'imposer des mesures conservatoires en urgence.
• Sanctions : jusqu'à 6 % du chiffre d'affaires mondial annuel en cas de violation.
• En cas de violation grave et répétée : possibilité d'interdire temporairement l'accès au service dans l'UE.

Les CSN nationaux conservent un rôle d'assistance et peuvent, en cas d'urgence, ordonner des mesures provisoires au niveau national.