Par Brunessen Bertrand, Professeure à l’Université de Rennes, membre de l’Institut universitaire de France

La saisine de l’ARCOM peut-elle fonder une action contre une très grande plateforme ?

La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique a désigné l’ARCOM comme coordinateur pour les services numériques au sens de l’article 49 du DSA, aux côtés de la CNIL et de la DGCCRF également désignées comme autorités compétentes. L’étendue réelle des pouvoirs du coordinateur ne découle cependant pas de cette désignation. Elle est fixée par le règlement (UE) 2022/2065 sur les obligations d’évaluation des risques systémiques, qui réserve certaines obligations à la Commission et fait dépendre les autres de la localisation de l’établissement principal du fournisseur. L’article 56, paragraphe 2, du règlement octroie à la Commission une compétence exclusive pour l’application aux très grandes plateformes des obligations spécifiques figurant à la section 5 du chapitre III, parmi lesquelles les articles 34 et 35, fondement de la saisine du 13 avril 2026. Aucun coordinateur national ne détient à ce titre les pouvoirs de supervision et de sanction attachés à ces obligations.

Pour les autres obligations du règlement, le principe de l’État membre d’établissement posé à l’article 56, paragraphe 1, demeure pertinent. S’agissant toutefois des très grandes plateformes, la Commission dispose également de pouvoirs de supervision et d’exécution sur ces autres obligations, les autorités nationales de l’État d’établissement conservant leur compétence tant que la Commission n’a pas engagé de procédure pour le même manquement. L’établissement principal de TikTok étant situé en Irlande, c’est ainsi la Coimisiún na Meán qui est compétente à l’égard de la plateforme pour les obligations situées hors de la section 5, sous réserve de l’engagement éventuel d’une procédure par la Commission. L’ARCOM intervient ainsi non comme coordinateur d’établissement mais comme coordinateur d’un État membre de destination. À ce titre, elle ne dispose à l’égard de TikTok que de voies d’action indirectes. L’article 9 ne crée aucun pouvoir propre du coordinateur : il encadre les injonctions d’agir contre un contenu illicite que les autorités judiciaires ou administratives peuvent émettre sur la base du droit national. L’article 58 ouvre un mécanisme de coopération transfrontière : un coordinateur de destination peut demander au coordinateur d’établissement d’examiner un manquement présumé et de prendre les mesures nécessaires, dans un délai de deux mois. L’article 61, enfin, permet de saisir le comité européen des services numériques, organe consultatif dépourvu de pouvoir décisionnel propre. Aucun de ces trois mécanismes ne confère à l’ARCOM le pouvoir d’imposer une mesure à TikTok qui ne peut donc avoir qu’une fonction d’alerte ou de relais. Cette configuration n’est pas propre au DSA. Elle exprime une caractéristique du droit européen du numérique : le règlement confie la régulation des acteurs les plus importants au niveau européen, en laissant aux coordinateurs nationaux une compétence résiduelle sur les autres opérateurs et sur les obligations non structurantes.

L’article 34 est-il la base juridique la plus opérante ?

L’article 34 s’impose progressivement, à travers les procédures formelles ouvertes depuis 2024 contre plusieurs très grandes plateformes dont TikTok par décision de la Commission du 19 février 2024, comme la principale base d’application du DSA. Il impose aux fournisseurs de très grandes plateformes d’identifier, d’analyser et d’évaluer avec diligence, au moins une fois par an, les risques systémiques découlant de la conception, du fonctionnement et de l’utilisation de leurs services au sein de l’Union. Le règlement énumère quatre catégories de risques : la diffusion de contenus illicites ; les atteintes à l’exercice des droits fondamentaux ; les effets sur le discours civique et les processus électoraux ; les effets négatifs liés à la protection des mineurs, à la santé publique et à la violence fondée sur le genre. L’article 35 impose, de manière complémentaire, l’adoption de mesures d’atténuation raisonnables, proportionnées et effectives. Le grief articulé sur ce fondement modifie le raisonnement juridique. Il ne porte pas sur un contenu illicite pris isolément, mais sur la manière dont l’architecture de la plateforme, ses systèmes de recommandation et ses paramètres par défaut organisent l’exposition des utilisateurs à ces contenus. Ce que le droit saisit n’est plus le contenu individuel mais la conception du service.

Cette logique se heurte toutefois ici à une difficulté qui tient à la nature même de la notion de risque systémique. Le règlement énumère les quatre catégories de risques sans le définir. La pratique décisionnelle de la Commission doit donc déterminer empiriquement ce qui distingue un risque systémique d’un simple risque. Les premières constatations préliminaires de la Commission, et notamment celle adoptée à l’égard de TikTok le 6 février 2026 sur la conception addictive du service, convergent vers une lecture qui privilégie la dimension structurelle du risque : ce qui est systémique est ce qui découle de la conception même du service et qui se reproduit avec régularité du fait de cette conception. Selon cette lecture, le seuil de systémicité suppose à la fois une récurrence suffisante du phénomène et un lien de causalité entre cette récurrence et l’architecture du service.

C’est cette double exigence qui rend la qualification délicate dans le cas du cyberproxénétisme. Chacune des annonces identifiées par l’enquête est susceptible, prise isolément, de recevoir une qualification pénale au titre des articles 225-5 et suivants du code pénal. Mais une qualification pénale individuelle ne suffit pas à constituer un risque systémique au sens du DSA. La difficulté tient moins au nombre des occurrences qu’à leur imputabilité. Pour que le phénomène devienne systémique au sens du règlement, encore faut-il pouvoir le rattacher à la conception du service plutôt qu’aux comportements individuels de ses utilisateurs. Or cette imputation est particulièrement incertaine lorsque les fonctionnalités en cause, telles que la messagerie privée ou la publication de contenus courts, sont en elles-mêmes neutres et susceptibles d’usages parfaitement licites.

L’article 28 du règlement offre peut être alors une prise juridique plus directe. Il impose aux fournisseurs de plateformes en ligne accessibles aux mineurs la mise en place de mesures appropriées et proportionnées pour garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service. Les lignes directrices publiées par la Commission le 14 juillet 2025 sur le fondement de l’article 28, paragraphe 4, en ont précisé la portée en matière de vérification d’âge proportionnée, de paramètres par défaut protecteurs, d’encadrement des systèmes de recommandation et de restrictions applicables aux pratiques commerciales à l’égard des utilisateurs mineurs.

L’articulation entre les deux dispositions révèle deux logiques distinctes d’évaluation des risques du DSA. L’article 34 repose sur une évaluation postérieure : il oblige les très grandes plateformes à mesurer les effets de leur service sur une série de risques généraux, puis à adopter des mesures d’atténuation proportionnées à ces effets. L’article 28 est préventif : il impose à toute plateforme accessible aux mineurs une obligation de conception protectrice, sans exiger la démonstration d’un risque avéré. L’article 34 exige une démonstration d’imputabilité dont l’article 28 dispense : il suffit d’établir que la conception du service ne garantit pas un niveau suffisant de protection des utilisateurs mineurs. L’article 28 relève en principe du coordinateur d’établissement, qui détient à son égard un pouvoir décisionnel propre. S’agissant d’une très grande plateforme, la Commission peut elle aussi engager une procédure sur ce fondement. L’article 28 ouvre ainsi deux voies d’action, nationale et européenne, là où l’article 34 n’ouvre que la seconde. Les deux fondements ne s’excluent pas. La saisine du 13 avril 2026 aurait gagné à mobiliser le second autant que le premier.

Quelle articulation entre la régulation européenne et le droit pénal national ?

Le proxénétisme demeure une infraction pénale, définie aux articles 225-5 et suivants du code pénal et poursuivie devant les juridictions nationales. Le DSA ne se substitue pas à ce régime. Il ne prescrit aucune action répressive et n’institue aucune incrimination, mais impose aux très grandes plateformes une obligation de diligence structurelle, sanctionnée par des amendes administratives. Les deux régimes coexistent. Là où le droit pénal saisit une responsabilité individuelle pour un acte imputable à une personne déterminée, le DSA saisit une responsabilité pour manquement à une obligation d’évaluation et d’atténuation. Ainsi, une plateforme peut satisfaire à ses obligations au titre des articles 34 et 35, par une évaluation diligente et des mesures d’atténuation proportionnées, sans pour autant faire obstacle à l’existence de comportements individuels relevant du droit pénal national. Inversement, la poursuite pénale des auteurs n’épuise pas la charge qui pèse, au niveau européen, sur la conception du service.

Le juge pénal national conserve sa compétence pour réprimer le proxénétisme. Mais la pression normative qui s’exerce sur les plateformes, celle qui détermine ce qu’elles modifient dans la conception de leur service, ce qu’elles documentent et ce qu’elles auditent, n’émane plus principalement du juge pénal national mais de la Commission, par la voie de la conformité au DSA. L’exercice de la fonction de régulation se détache ainsi de l’attribution formelle de la compétence. Aussi, lorsqu’il s’agit d’agir sur l’environnement numérique dans lequel le proxénétisme se déploie, c’est-à-dire sur la conception et le fonctionnement des plateformes elles-mêmes, c’est le niveau européen qui est désormais compétent.