Le DSA en 2026 : deux ans d’application complète
Le Digital Services Act — règlement (UE) 2022/2065 — est entré en application complète le 17 février 2024 pour tous les fournisseurs dans le champ d’application, s’appliquant depuis août 2023 à la première vague de très grandes plateformes en ligne et très grands moteurs de recherche en ligne désignés. En mai 2026, le règlement a accumulé plus de deux ans d’application complète à travers l’Union européenne, et la phase de mise en œuvre a cédé la place à l’application active, au contentieux en manquement, et à la première vague soutenue de désignations de signaleurs de confiance.
En tant que règlement plutôt que directive, le DSA s’applique directement dans les 27 États membres — mais contrairement à DORA, il s’appuie sur les autorités nationales pour la majeure partie de son infrastructure d’application. Chaque État membre devait désigner et habiliter un coordinateur pour les services numériques au plus tard le 17 février 2024. Deux ans plus tard, cette obligation est toujours en contentieux pour plusieurs États membres. En mai 2025, la Commission européenne a renvoyé la Tchéquie, l’Espagne, Chypre, la Pologne et le Portugal devant la Cour de justice de l’Union européenne pour ne pas avoir désigné et habilité leurs DSC ou pour ne pas avoir établi de règles de sanction — des renvois qui, au titre de l’article 260 TFUE, peuvent conduire à des sanctions financières s’ils ne sont pas résolus.
Alors que la désignation des DSC a été chaotique, le cadre des signaleurs de confiance a progressé dans les États membres dotés de coordinateurs opérationnels. En 2026, les signaleurs de confiance désignés incluent — pour nommer quelques exemples publics — Argo Business Solutions en Italie (désigné en janvier 2025 par l’AGCOM, axé sur la contrefaçon de propriété intellectuelle et la fraude en ligne), Bundesverband Onlinehandel et HateAid et le Verbraucherzentrale Bundesverband en Allemagne (désignés en juin 2025 par la Bundesnetzagentur), ALPA et IFAW et Point de Contact en France (désignés par l’Arcom), ECPAT Suède, et Offlimits aux Pays-Bas. La Banque centrale d’Irlande a publiquement indiqué son intérêt pour une désignation de signaleur de confiance pour la fraude et les arnaques financières.
La Commission prépare des lignes directrices sur les signaleurs de confiance au titre de l’article 22(8). Une consultation publique est prévue pour le deuxième trimestre 2026, avec une adoption prévue avant la fin 2026. Ces lignes directrices rationaliseront les processus de candidature auprès des DSC, traiteront la gestion par les plateformes des abus de signaleurs de confiance, et clarifieront la procédure de révocation. D’ici là, les critères de désignation sont appliqués par chaque DSC avec son propre cadre procédural — ce qui a produit une variation visible du débit, de la transparence, et de la focalisation par catégorie à travers les États membres.
Pour les organisations préparant des notifications DSA — que ce soit en tant que signaleurs de confiance désignés, candidats au statut de signaleur de confiance, équipes de protection de marque, ONG, ou utilisateurs de plateformes ayant des interactions substantielles de modération de contenu — ce guide se concentre sur le test opérationnel plutôt que sur le texte de politique. Le formulaire de notification de l’article 16, l’exposé des motifs de l’article 17 qui le suit, et le cadre des signaleurs de confiance de l’article 22 reposent tous sur un fondement commun : les notifications soutenues par une preuve défendable, préservée, ancrée dans le temps sont traitées plus rapidement, décidées plus souvent en faveur du notifiant, et survivent aux contestations ultérieures des destinataires de contenu. Les notifications soutenues par des captures d’écran produites de mémoire ou reconstituées après coup font face à des résultats systématiquement pires.
Champ d’application : les quatre niveaux de services numériques
Le DSA établit une structure de champ d’application à quatre niveaux, chaque niveau ajoutant des obligations par-dessus les niveaux inférieurs. Comprendre dans quel niveau tombe une plateforme donnée détermine quelles obligations de l’article 16 s’appliquent, quelles procédures de signaleur de confiance sont pertinentes, et quelle preuve la plateforme est statutairement tenue de conserver et de produire sur demande.
Niveau 1 : Services intermédiaires (articles 4 à 6)
Le niveau de base couvre tous les services intermédiaires — les services de simple transport, de mise en cache, et d’hébergement tels que définis dans la directive sur le commerce électronique (désormais intégrés dans les articles 4 à 6 du DSA). Tous les fournisseurs de ce niveau font face à des obligations de référence : point de contact unique pour les autorités (article 11), point de contact unique pour les destinataires (article 12), représentants légaux pour les fournisseurs hors UE (article 13), transparence des conditions générales (article 14), et le bouclier de responsabilité conditionnel familier du régime du commerce électronique.
Niveau 2 : Services d’hébergement (articles 16 à 18)
Les services d’hébergement — les fournisseurs qui stockent des informations fournies par les destinataires à la demande de ces derniers — ajoutent l’obligation substantielle de notification et action de l’article 16, l’obligation d’exposé des motifs de l’article 17, et l’obligation de l’article 18 de notifier aux forces de l’ordre les soupçons de certaines infractions pénales. Ce niveau capture tout, des fournisseurs de stockage cloud aux sections de commentaires, des logiciels de forum à une grande partie de l’économie internet moderne.
Niveau 3 : Plateformes en ligne (articles 19 à 28)
Les plateformes en ligne — les services d’hébergement qui, à la demande du destinataire, stockent et diffusent des informations au public — ajoutent les obligations pertinentes pour les plateformes tournées vers les utilisateurs : systèmes internes de traitement des réclamations (article 20), règlement extrajudiciaire des litiges (article 21), priorité aux signaleurs de confiance (article 22), mesures contre les abus (article 23), rapports de transparence (article 24), règles de conception d’interface (article 25), transparence de la publicité (article 26), et transparence des systèmes de recommandation (article 27). L’article 19 exclut les micro et petites entreprises de la plupart de ces obligations supplémentaires sous des conditions définies.
Niveau 4 : VLOP et VLOSE (articles 33 à 43)
Le niveau supérieur — les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne — s’applique aux fournisseurs comptant plus de 45 millions d’utilisateurs actifs mensuels moyens dans l’UE. Les désignations initiales ont eu lieu en avril 2023 ; la Commission continue de désigner de nouveaux VLOP et VLOSE à mesure que les plateformes franchissent le seuil, les désignations ultérieures incluant Pornhub, XVideos, Shein, et Temu. Les VLOP et VLOSE font face aux pleines obligations supplémentaires de la section 5 : évaluation des risques systémiques (article 34), atténuation des risques (article 35), réponse aux crises (article 36), audit indépendant (article 37), accès aux données pour les chercheurs habilités (article 40), et une redevance de surveillance annuelle. La Commission a une compétence d’application exclusive sur les obligations de risque systémique des VLOP/VLOSE, partageant la compétence avec les DSC nationaux pour les autres obligations du DSA.
Article 16 : le mécanisme de notification et action
L’article 16 est le cœur opérationnel du DSA pour la modération de contenu. Il exige de chaque fournisseur de services d’hébergement — chaque niveau à partir du niveau 2 — qu’il mette en place des mécanismes permettant à tout individu ou entité de le notifier de la présence sur son service d’informations que le notifiant considère comme du contenu illégal. Le mécanisme de notification doit être facile d’accès, convivial, et permettre la soumission de notifications exclusivement par des moyens électroniques. De manière cruciale, une notification suffisamment étayée donne au fournisseur de services d’hébergement une connaissance ou une conscience effective de l’illégalité, retirant le bouclier de responsabilité conditionnel du régime du commerce électronique — ce qui rend la qualité de la notification directement déterminante du comportement de la plateforme.
Les quatre éléments obligatoires de la notification (article 16(2))
L’article 16(2) prescrit l’information minimale qu’une notification doit contenir pour se qualifier comme notification étayée au titre du DSA : (a) une explication suffisamment étayée des raisons pour lesquelles l’individu ou l’entité allègue que l’information en question est du contenu illégal ; (b) une indication claire de l’emplacement électronique exact de cette information, comme l’URL ou les URL exactes et, si nécessaire, des informations supplémentaires permettant l’identification du contenu illégal ; (c) le nom et l’adresse e-mail de l’individu ou de l’entité soumettant la notification, sauf dans le cas d’informations considérées comme impliquant des infractions sexuelles contre des enfants ; (d) une déclaration confirmant la conviction de bonne foi de l’individu ou de l’entité soumettant la notification que l’information et les allégations sont exactes et complètes.
L’effet de « connaissance effective » (article 16(3))
Une notification qui contient les quatre éléments obligatoires est réputée au titre de l’article 16(3) donner lieu à une connaissance ou une conscience effective de la part du fournisseur de services d’hébergement — pour l’élément d’information spécifique que la notification concerne. C’est le mécanisme juridique central du régime de notification du DSA : une fois la connaissance effective établie, le bouclier de responsabilité de la directive sur le commerce électronique cesse d’opérer pour ce contenu spécifique, et la plateforme qui ne parvient pas à agir fait face à une responsabilité directe au titre du droit substantiel national applicable. Les notifications qui manquent de l’un des quatre éléments n’établissent pas automatiquement la connaissance effective — bien que les plateformes puissent tout de même choisir d’agir sur elles.
Obligations de confirmation et de retour (article 16(4))
Lorsqu’une notification est soumise, le fournisseur de services d’hébergement doit envoyer au notifiant — sans retard indu — une confirmation de réception. Une fois qu’une décision est prise, le fournisseur doit notifier au notifiant la décision, y compris des informations sur les possibilités de recours disponibles contre la décision. Cela crée une chaîne documentaire qui court dans les deux sens : du notifiant à la plateforme, et de la plateforme au notifiant. La réponse du fournisseur fait partie du dossier de transparence public au titre de l’article 24, et le dossier de preuve du notifiant inclut désormais la réponse que la plateforme délivre — pertinente à la fois pour le rapport de transparence du signaleur de confiance et pour tout litige ultérieur.
Traitement automatisé (article 16(6))
Lorsque le fournisseur de services d’hébergement utilise des moyens automatisés pour le traitement ou la prise de décision sur les notifications, cela doit être divulgué dans la notification au notifiant. L’article 17 exige séparément la divulgation des moyens automatisés dans l’exposé des motifs au destinataire affecté. L’information sur le traitement automatisé est elle-même une preuve — pertinente pour évaluer si la réponse de la plateforme était disproportionnée, si les obligations de risque systémique de l’article 34 ont pu être déclenchées, et si la notification en question a été décidée sur son fond ou traitée en masse.
Délais d’action : retard indu plutôt qu’heures fixes
L’article 16 n’impose pas d’échéance fixe basée sur les heures pour l’action sur les notifications — contrairement au chronomètre de 4 heures de DORA ou à l’alerte précoce à 24 heures de NIS2. Au lieu de cela, les décisions doivent être prises « de manière rapide, diligente, non arbitraire et objective ». Pour les notifications de signaleurs de confiance au titre de l’article 22, l’obligation est renforcée : leurs notifications doivent être prioritaires et traitées et décidées « sans retard indu ». En pratique, « sans retard indu » pour les notifications de signaleurs de confiance a été interprété par les principaux DSC comme signifiant des heures à quelques jours pour les catégories à haute priorité comme le matériel d’abus sexuel d’enfants — des ordres de grandeur plus rapide que les files d’attente de notifications d’utilisateurs générales.
Article 17 : exposé des motifs et la trace probante
Lorsqu’une plateforme restreint le contenu ou le service d’un destinataire sur la base d’une notification de l’article 16 — ou de sa propre initiative — l’article 17 exige qu’elle fournisse à ce destinataire un exposé des motifs clair et spécifique de la restriction. L’exposé doit inclure les faits et circonstances sur lesquels on s’est appuyé, si des moyens automatisés ont été utilisés, les raisons de considérer le contenu comme illégal ou contraire aux conditions générales, les mécanismes de recours disponibles, et des informations sur la base de données de transparence du DSA où les exposés des motifs sont agrégés publiquement.
La base de données de transparence du DSA — lancée aux côtés du règlement — collecte les exposés des motifs de toutes les plateformes dans le champ d’application et les rend consultables publiquement. En 2026, la base de données contient des centaines de millions d’enregistrements. Pour toute notification individuelle ayant abouti à une restriction, l’exposé des motifs publié par la plateforme est le résumé public de la logique de décision de la plateforme. Pour le notifiant, l’exposé est le propre aveu de la plateforme des faits qu’elle a trouvés persuasifs — ce qui fait lui-même partie du dossier probant.
L’exposé des motifs de l’article 17 crée une asymétrie curieuse dans la chaîne probante. Le notifiant fournit la preuve soutenant la notification (article 16). La plateforme examine et décide. La plateforme publie un exposé des motifs (article 17). Le destinataire peut contester la décision via le système interne de traitement des réclamations de la plateforme (article 20) ou via le règlement extrajudiciaire des litiges (article 21). Chacune de ces étapes produit une preuve — et une notification originale de haute qualité avec captures forensiques préservées façonne toute la chaîne en aval. Les notifications soutenues par des captures d’écran reconstituées et des affirmations font face à des contestations à chaque étape ultérieure.
La réclamation de l’article 20 du destinataire peut attaquer directement la notification sous-jacente. Lorsque le contenu de la notification a été préservé avec un horodatage électronique qualifié et une intégrité vérifiable, l’examen de cette réclamation par la plateforme part d’une position de robustesse factuelle. Lorsque la notification s’appuyait sur des captures d’écran volatiles qui peuvent avoir été éditées ou qui ne correspondent plus au site en direct, la réclamation reçoit un accueil structurellement plus solide. Le taux de traitement interne dans la plupart des plateformes — la proportion de réclamations qui aboutissent au rétablissement du contenu restreint — est significativement plus élevé pour les notifications qui manquent de soutien probant robuste.
Pour les signaleurs de confiance spécifiquement, la trace de l’exposé des motifs de l’article 17 alimente directement le rapport de transparence annuel au titre de l’article 22(3). Le rapport doit lister — entre autres éléments — les actions prises par la plateforme en ligne en réponse aux notifications du signaleur de confiance. Un signaleur de confiance qui produit systématiquement des notifications de haute qualité avec preuve forensique préservée accumule un dossier documentaire de taux d’action élevés des plateformes. Un signaleur de confiance dont les notifications sont répétitivement contestées via les réclamations de l’article 20, rétablies, ou simplement ignorées produit un rapport de transparence moins favorable — et fait face à un risque accru d’enquête du DSC au titre de l’article 22(6) et (7), qui peut aboutir à la suspension ou à la révocation du statut de signaleur de confiance.
Article 22 : le cadre des signaleurs de confiance
L’article 22 du DSA formalise ce qui était auparavant un patchwork d’arrangements bilatéraux entre plateformes et partenaires de confiance en un cadre structuré à l’échelle de l’UE. L’article établit l’architecture institutionnelle : qui peut demander le statut de signaleur de confiance, ce que les plateformes doivent faire des notifications de signaleurs de confiance, comment fonctionne le rapport de transparence, et comment le statut peut être suspendu ou révoqué.
Traitement prioritaire (article 22(1))
Les plateformes en ligne doivent prendre les mesures techniques et organisationnelles nécessaires pour garantir que les notifications soumises par les signaleurs de confiance — agissant dans leur domaine d’expertise désigné — via les mécanismes de l’article 16 soient prioritaires et traitées et décidées sans retard indu. La priorité est spécifique au contenu : un signaleur de confiance désigné pour le matériel d’abus sexuel d’enfants n’obtient pas de traitement prioritaire pour les notifications de contrefaçon de marque, même s’il s’agit techniquement de la même entité juridique soumettant via le même mécanisme de notification.
Désignation par le coordinateur pour les services numériques (article 22(2))
Le statut de signaleur de confiance est accordé par le coordinateur pour les services numériques de l’État membre où le candidat est établi — pas par la plateforme, pas par la Commission. Ce régime de désignation décentralisé signifie qu’une entité établie en Allemagne postule auprès de la Bundesnetzagentur ; une entité en France postule auprès de l’Arcom ; une entité en Italie postule auprès de l’AGCOM. Une fois accordé, le statut est valide dans toute l’UE vis-à-vis de toute plateforme en ligne dans le champ d’application au titre de l’article 22, indépendamment du lieu d’établissement de la plateforme. Un signaleur de confiance allemand dépose des notifications auprès d’une plateforme française avec le même statut prioritaire qu’il déposerait des notifications auprès d’une plateforme allemande.
Éligibilité : entités seulement, trois critères substantiels
L’article 22(2) exige trois critères substantiels : (a) une expertise et une compétence particulières dans la détection, l’identification, et la notification de contenu illégal ; (b) l’indépendance de tout fournisseur de plateforme en ligne ; (c) une exécution diligente, exacte, et objective de l’activité de notification. Le considérant 61 clarifie que les signaleurs de confiance doivent être des entités — pas des individus — et identifie les catégories typiques : organisations non gouvernementales, organismes privés ou semi-publics, et associations sectorielles. Le « nombre global de signaleurs de confiance devrait être limité » pour préserver la valeur ajoutée du cadre.
Portée géographique du statut
La portée géographique est l’une des caractéristiques les plus distinctives du cadre. Une fois désigné par le DSC d’un seul État membre, le statut du signaleur de confiance est reconnu par toutes les plateformes en ligne dans le champ d’application à travers toute l’Union. C’est une forte caractéristique d’harmonisation : un signaleur de confiance n’a pas besoin de postuler 27 fois. C’est aussi un point de tension dans le cadre, car les critères substantiels sont appliqués différemment par différents DSC. Une entité qui ne passerait pas les standards de diligence de la Bundesnetzagentur peut être désignée par un DSC moins rigoureux et opérer ensuite à l’échelle de l’Union. Les lignes directrices 2026 de la Commission au titre de l’article 22(8) sont en partie destinées à traiter cette variation.
Rapport annuel (article 22(3))
Les signaleurs de confiance désignés doivent publier, au moins une fois par an, des rapports facilement compréhensibles et détaillés sur les notifications soumises au titre de l’article 16 pendant la période de rapport. Les rapports doivent catégoriser les notifications par fournisseur de services d’hébergement, type de contenu prétendument illégal, et action prise par la plateforme en ligne en réponse. Les rapports doivent inclure une explication des procédures que le signaleur de confiance maintient pour assurer l’indépendance. Ils sont soumis au DSC qui a accordé le statut et rendus publiquement disponibles. Le rapport annuel est le principal artefact public de l’opération du signaleur de confiance — et la qualité de la preuve derrière les notifications qu’il décrit est ce qui détermine si le rapport se lit comme efficace ou comme un dossier de décisions contestées et renversées.
Comment devenir signaleur de confiance
Pour les entités envisageant une candidature au statut de signaleur de confiance, la voie pratique passe par le coordinateur pour les services numériques de l’État membre d’établissement. En mai 2026, les processus de candidature varient significativement selon l’État membre — certains DSC ont publié des formulaires et procédures de candidature détaillés ; d’autres n’ont pas encore développé de processus de désignation ; certains États membres sont en contentieux CJUE sur l’habilitation du DSC. Les sections suivantes décrivent la préparation substantielle qui s’applique indépendamment du DSC auprès duquel la candidature est déposée.
Démontrer l’expertise et la compétence
Le premier critère substantiel — l’expertise et la compétence particulières dans la détection, l’identification, et la notification de contenu illégal — est typiquement démontré par une combinaison de workflows de détection documentés, de qualifications du personnel traitant les notifications, d’antécédents (le cas échéant, y compris au titre de cadres volontaires pré-DSA), d’infrastructure technique d’analyse de contenu, et d’expertise thématique spécifique au domaine. Le DSC voudra voir des procédures pour confirmer que le contenu signalé atteint réellement le seuil juridique d’illégalité au titre du droit de l’Union ou national applicable — pas seulement des violations des conditions de service ou du contenu que l’entité trouve répréhensible.
Démontrer l’indépendance
Le critère d’indépendance exige du candidat qu’il opère sans dépendance financière envers les plateformes en ligne ni enchevêtrement de gouvernance avec elles. C’est le critère le plus sensible sur le plan opérationnel pour les associations sectorielles et les organisations de protection de marque, où l’engagement avec les plateformes fait souvent partie de l’activité normale. L’indépendance ne signifie pas l’interdiction de contact avec les plateformes — elle signifie l’absence de flux financiers, de chevauchement de gouvernance, ou d’obligations contractuelles qui pourraient compromettre l’objectivité du signaleur de confiance. Le DSC examinera la structure de financement, la gouvernance, les relations contractuelles, et la conduite historique.
Démontrer la diligence, l’exactitude, et l’objectivité
Le troisième critère — diligence, exactitude, et objectivité — est là où l’infrastructure probante devient déterminante. Le candidat doit démontrer des procédures qui garantissent que chaque notification repose sur une vérification adéquate, une description exacte, et une évaluation objective. C’est là que la préservation de preuves forensiques entre directement dans la candidature : un candidat qui peut montrer aux examinateurs du DSC un paquet de preuve inviolable pour une notification échantillon — HTML complet, capture d’écran rendue, horodatage électronique qualifié, manifeste d’intégrité — démontre la diligence d’une manière que les captures d’écran et les descriptions informelles ne peuvent pas égaler. Cela devient de plus en plus important à mesure que les DSC développent leurs propres standards d’évaluation au titre des lignes directrices à venir de la Commission.
Domaine d’expertise désigné
La désignation de signaleur de confiance n’est pas générique. Chaque désignation spécifie le ou les domaines d’expertise dans lesquels l’obligation de traitement prioritaire s’applique. Les catégories courantes observées dans les désignations de 2025 et 2026 incluent le matériel d’abus sexuel d’enfants (CSAM), le contenu terroriste, le discours de haine, la contrefaçon de propriété intellectuelle, la fraude aux consommateurs, les annonces de produits illégaux, les arnaques financières en ligne, et la violence numérique. Une entité peut être désignée pour plusieurs catégories, mais chacune exige une expertise substantielle. Une désignation comme signaleur de confiance CSAM ne s’étend pas aux notifications de marques, et vice versa.
Contexte tchèque et d’Europe centrale
Pour les entités établies en République tchèque, la situation pratique en mai 2026 est contrainte par le renvoi CJUE en cours sur l’habilitation de l’ČTÚ. L’ČTÚ a été formellement désigné comme le DSC tchèque, a publié un rapport annuel sur les activités du coordinateur pour 2025, et a été listé comme l’autorité compétente pour la certification des signaleurs de confiance au titre de l’article 22. Cependant, le cadre d’habilitation plus large — y compris les règles de sanction — reste sous examen de la Commission dans les procédures devant la Cour de justice. Les entités tchèques envisageant des candidatures de signaleur de confiance devraient surveiller les procédures CJUE et la mise en œuvre de la législation d’exécution aux côtés de leur préparation substantielle. De nombreux candidats slovaques, polonais, et portugais font face à une incertitude procédurale analogue en attendant la résolution de procédures d’infraction parallèles.
Pourquoi la préservation des preuves détermine la qualité de la notification
Le régime de notification du DSA est structurellement différent des régimes de signalement de DORA ou de NIS2. Il n’y a pas de chronomètre fixe basé sur les heures. Il n’y a pas d’autorité statutaire qui reçoit la notification. La notification est un instrument de droit privé qui déclenche une décision de plateforme — et cette décision a des conséquences à travers l’exposé des motifs de l’article 17, la réclamation de l’article 20, le règlement des litiges de l’article 21, et (pour les signaleurs de confiance) le rapport de transparence annuel de l’article 22(3). Chacune de ces étapes en aval teste la notification sous-jacente. Et chaque test est plus facile à gagner pour la plateforme, ou pour le destinataire affecté, lorsque la notification sous-jacente repose sur une preuve volatile ou reconstituable.
Le contenu illégal a un profil probant distinctif : il est conçu pour être éphémère. Les contrefacteurs de marques changent de SKU et migrent les annonces dans les heures suivant la détection. Les opérateurs de hameçonnage abandonnent l’infrastructure une fois qu’elle est signalée. Le discours de haine est supprimé ou édité dès que le destinataire soupçonne une attention de modération. Les hébergeurs de CSAM déplacent le contenu à travers les CDN en quelques minutes. Les campagnes d’usurpation de marque font tourner les noms de domaine. Dans chaque catégorie où les signaleurs de confiance opèrent, la preuve soutenant la notification a une courte demi-vie — et la notification qui atteint la plateforme après que le contenu a disparu est essentiellement une affirmation invérifiable.
Le DSA envisage cette volatilité implicitement. L’article 16(2)(b) exige « une indication claire de l’emplacement électronique exact de cette information, comme l’URL ou les URL exactes et, si nécessaire, des informations supplémentaires permettant l’identification du contenu illégal ». La clause « si nécessaire, des informations supplémentaires » existe parce que les URL seules sont souvent insuffisantes — le contenu à l’URL change, l’URL elle-même peut être réutilisée, la page rendue peut différer de la source sous-jacente. Les workflows de signaleurs de confiance qui capturent le contenu au moment de l’identification, avec intégrité vérifiable, satisfont cette exigence à un standard substantiellement plus élevé que les workflows qui n’enregistrent que l’URL.
C’est la lacune opérationnelle que les plateformes de preuve web forensique comme GetProofAnchor sont conçues pour combler. Une capture faite au moment de l’identification produit un paquet inviolable — HTML complet, capture d’écran rendue sur les fenêtres d’affichage bureau et mobile, contenu textuel extrait, métadonnées réseau, et le cas échéant la chaîne de certificats TLS — liés ensemble par un manifeste cryptographique, scellés avec un horodatage électronique qualifié au titre de l’article 42 d’eIDAS par un prestataire de services de confiance qualifié inscrit dans l’UE, et ancrés indépendamment dans la blockchain Bitcoin via OpenTimestamps. Lorsque la plateforme traite la notification trois jours plus tard et que le contenu a disparu, la preuve est disponible avec une intégrité mathématique que le contenu original existait, sous cette forme, à ce moment.
Pour les signaleurs de confiance, l’effet cumulatif sur une année de rapport est substantiel. Un signaleur produisant 5 000 notifications avec preuve forensique préservée bâtit un dossier annuel de taux d’action élevés, de faibles taux de réclamations réussies au titre de l’article 20, et de diligence démontrable au titre de l’article 22(2)(c). Un signaleur produisant le même nombre de notifications soutenues par des captures d’écran accumule un dossier de décisions contestées, de contenu rétabli, et — éventuellement — de l’enquête du DSC au titre de l’article 22(6) qui peut aboutir à la suspension. Le standard de preuve n’est pas séparé de la conformité à l’article 22 ; il est le cœur opérationnel de la position de conformité du signaleur de confiance.
Capture forensique de contenu illégal pour les notifications DSA
Les catégories substantielles où les signaleurs de confiance et autres notifiants DSA opèrent le plus souvent partagent certaines caractéristiques probantes : contenu hébergé sur une infrastructure que le notifiant ne contrôle pas, conçu pour être supprimé à la détection, souvent répliqué à travers plusieurs URL ou plateformes. Les cinq catégories suivantes couvrent l’essentiel du trafic de notifications DSA à volume élevé en 2025 et 2026 et illustrent les standards de capture forensique que chacune exige.
Annonces de produits contrefaits sur les places de marché en ligne
Les annonces de produits contrefaits sur les places de marché en ligne sont l’une des plus grandes catégories uniques d’activité de signaleurs de confiance, avec des organisations de protection de marque et des associations sectorielles (l’exemple de Bundesverband Onlinehandel en Allemagne est illustratif) opérant dans cet espace. Les annonces contrefaites disparaissent rapidement une fois signalées, souvent en quelques heures, et le même vendeur réinscrit fréquemment le même produit sous un SKU ou une identité de place de marché différents. La capture forensique doit inclure la page d’annonce de produit complète, le profil du vendeur, le prix et les détails d’expédition, toutes les images du produit, et les avis visibles par les utilisateurs — préservés comme un seul paquet de preuve cohérent au moment où l’annonce est identifiée.
Domaines d’usurpation de marque et infrastructure de hameçonnage
Les domaines d’usurpation de marque — typosquattage, domaines sosies, sites de support client frauduleux — sont une catégorie croissante d’activité de notification DSA, en particulier à mesure que les institutions financières et les grandes marques de consommation cherchent une désignation de signaleur de confiance. La capture forensique doit couvrir le rendu visuel complet de l’usurpation, le HTML sous-jacent montrant l’usage des actifs de marque, la chaîne de certificats TLS (qui montre souvent des certificats Let’s Encrypt gratuits, eux-mêmes pertinents sur le plan probant), et si possible les appels réseau capturant où les identifiants récoltés sont envoyés. L’infrastructure de hameçonnage est la catégorie la plus rapidement jetable dans le travail de notification DSA ; l’écart entre la détection et la destruction du contenu se mesure en heures.
Fraude financière en ligne et arnaques à l’investissement
La fraude financière en ligne et les arnaques à l’investissement — fausses plateformes de courtage, faux échanges de crypto, sites d’investissement de type « pig butchering » pilotés par des arnaques amoureuses — se situent à l’intersection des notifications DSA, du signalement DORA pour les entités financières dans le champ d’application, et de l’engagement des forces de l’ordre. L’intérêt déclaré de la Banque centrale d’Irlande pour une désignation de signaleur de confiance pour la fraude et les arnaques financières illustre la demande institutionnelle d’une autorité de notification structurée dans cette catégorie. La capture forensique doit parcourir le parcours d’arnaque multipage — page d’accueil, faux tableau de bord, interface de dépôt, mécanique de retrait impossible — préservé de manière cohérente comme un seul paquet de preuve par arnaque, chaque composant étant vérifiable indépendamment.
Discours de haine illégal et contenu de violence numérique
Le discours de haine illégal et le contenu de violence numérique — dans le champ de l’exemple HateAid parmi les désignations allemandes de juin 2025 — présentent un profil probant différent. Le contenu est souvent hébergé sur des plateformes qui suppriment au signalement de l’utilisateur (le destinataire signalant souvent la détresse par une suppression publique), au sein de fils ou de sections de commentaires qui défilent hors de vue, parfois à l’intérieur d’archives de diffusion en direct. La capture forensique doit inclure le contenu lui-même, le contexte du fil environnant, les informations de compte utilisateur de l’auteur, les horodatages de publication et de toute édition ultérieure, et l’URL à laquelle le contenu est apparu. Les captures multipages ou en fil sont essentielles car l’extraction risque de déformer le contexte.
CSAM et contenu terroriste (lignes d’assistance spécialisées)
Le matériel d’abus sexuel d’enfants et le contenu terroriste sont traités par des lignes d’assistance spécialisées au titre à la fois de l’article 22 du DSA et du règlement (UE) 2021/784 parallèle relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne. La capture forensique dans ces catégories a des contraintes juridiques et opérationnelles supplémentaires — le contenu ne peut pas être téléchargé ou stocké de manière standard sans une responsabilité pénale potentielle pour la ligne d’assistance elle-même. Les lignes d’assistance spécialisées opèrent dans des cadres juridiques sur mesure, typiquement des arrangements de coopération avec les forces de l’ordre nationales, et utilisent des systèmes d’identification fondés sur les empreintes plutôt que la préservation de contenu brut. Les techniques de capture forensique à usage général discutées pour les autres catégories ne s’appliquent pas directement dans ces contextes spécialisés.
Rapports de transparence annuels au titre de l’article 22(3)
L’article 22(3) exige de chaque signaleur de confiance désigné qu’il publie au moins une fois par an un rapport facilement compréhensible et détaillé sur les notifications soumises conformément à l’article 16 pendant la période de rapport. Le rapport doit lister, au minimum, le nombre de notifications catégorisées par l’identité du fournisseur de services d’hébergement, le type de contenu prétendument illégal notifié, et l’action prise par la plateforme en ligne en réponse. Les rapports doivent expliquer les procédures en place pour garantir que le signaleur de confiance conserve son indépendance, doivent être envoyés au DSC qui a accordé le statut, et doivent être rendus publiquement disponibles. Les informations de ces rapports ne peuvent pas contenir de données personnelles.
Le rapport de transparence est le principal artefact public de l’opération du signaleur de confiance. Pour les candidats cherchant une désignation dans les tours ultérieurs, les rapports de transparence antérieurs d’autres signaleurs désignés dans le même domaine de contenu fournissent un point de référence de ce à quoi ressemblent des volumes d’activité raisonnables, des distributions de catégories, et des taux d’action des plateformes. Pour les DSC supervisant les signaleurs désignés, le rapport annuel est l’intrant principal de l’évaluation continue au titre de l’article 22(2)(c) — si la diligence, l’exactitude, et l’objectivité sont toujours maintenues.
Le lien entre la préservation de preuves forensiques et le rapport de transparence annuel est direct. Le rapport inclut les actions prises par les plateformes en ligne en réponse aux notifications. Lorsque les plateformes ont retiré ou restreint le contenu, le rapport reflète un taux d’action élevé. Lorsque les plateformes ont rétabli le contenu à la suite d’une réclamation de l’article 20 du destinataire, le rapport reflète une décision contestée. Lorsque le signaleur de confiance a retiré ou n’a pas pu étayer une notification lorsqu’elle a été contestée, le rapport reflète une notification non traitée. Sur une année, ces distributions façonnent à la fois la perception publique de l’efficacité du signaleur de confiance et l’évaluation par le DSC de si la désignation reste justifiée.
La Commission, au titre de l’article 22(4), maintient une base de données centralement accessible et publiquement disponible de tous les signaleurs de confiance désignés, de leur État membre d’établissement, et de leur domaine d’expertise. En 2026, cette base de données est opérationnelle et croissante à mesure que les désignations s’accumulent. Elle est aussi le point de référence pour les chercheurs, journalistes, et régulateurs suivant l’évolution du cadre des signaleurs de confiance. Les rapports annuels soumis par les signaleurs désignés deviennent partie du dossier publiquement accessible de la façon dont le régime de notification du DSA fonctionne réellement en pratique.
Les DSC à travers les États membres : l’affaire CJUE tchèque
L’article 49 du DSA exigeait de chaque État membre qu’il désigne une ou plusieurs autorités compétentes et qu’il confie à l’une d’elles le rôle de coordinateur pour les services numériques au plus tard le 17 février 2024. Deux ans après cette échéance, le paysage des désignations reste inégal. Certains États membres ont achevé le processus de désignation et d’habilitation dans les délais. D’autres ont désigné un DSC mais n’ont pas réussi à lui accorder les pouvoirs d’application nécessaires ni à établir de règles de sanction nationales. Plusieurs n’ont jamais achevé la désignation du tout.
Le 7 mai 2025, la Commission européenne a décidé de renvoyer la Tchéquie, l’Espagne, Chypre, la Pologne et le Portugal devant la Cour de justice de l’Union européenne au titre de l’article 258 TFUE. La Pologne n’avait pas désigné de DSC du tout. La Tchéquie, l’Espagne, Chypre et le Portugal avaient chacun formellement désigné un DSC mais n’avaient pas réussi à le doter des pouvoirs nécessaires ni à établir de règles de sanction. Les renvois déclenchent la phase de contentieux de la procédure d’infraction ; si la CJUE constate un manquement, l’État membre est juridiquement tenu de se conformer, et la non-conformité continue peut aboutir à d’autres procédures au titre de l’article 260 TFUE dont des sanctions financières.
L’affaire tchèque est particulièrement visible dans la pratique DSA d’Europe centrale. L’Office tchèque des télécommunications (Český telekomunikační úřad, ČTÚ) a été formellement désigné comme le DSC tchèque, a publié son premier rapport annuel d’activité du coordinateur couvrant 2025, et est listé comme l’autorité compétente pour la certification des signaleurs de confiance, l’accès des chercheurs habilités au titre de l’article 40, et la certification des organes de règlement extrajudiciaire des litiges. La législation d’exécution tchèque n’a pas été finalisée sous la forme que la Commission considère nécessaire pour accorder au DSC sa pleine compétence d’application — ce qui est la base du renvoi CJUE. Les entités tchèques préparant des candidatures de signaleur de confiance travaillent dans le processus publié de l’ČTÚ mais opèrent dans un contexte de contentieux non résolu sur le cadre DSC plus large.
En revanche, plusieurs États membres ont rapidement développé l’architecture institutionnelle. La Bundesnetzagentur allemande, hébergeant le rôle de DSC, a émis plusieurs désignations de signaleurs de confiance au cours de 2024 et 2025 et exploite un registre public d’entités certifiées. L’Arcom française maintient une liste publiquement disponible de signaleurs de confiance mise à jour régulièrement. L’AGCOM italienne a désigné son premier signaleur de confiance (Argo Business Solutions) en janvier 2025. La Coimisiún na Meán irlandaise est opérationnelle et est le régulateur d’origine pour de nombreuses grandes plateformes ayant leur siège en Irlande. L’ACM néerlandaise et la NMHH hongroise sont similairement actives.
Le paysage inégal des DSC crée une géographie d’application pour le travail de notification DSA. Un signaleur de confiance établi dans un État membre avec un DSC pleinement opérationnel a des délais de candidature prévisibles, des procédures transparentes, et un régulateur capable de superviser son activité. Un signaleur de confiance établi dans un État membre dont le cadre DSC est encore en contentieux fait face à des délais plus longs et à une incertitude procédurale. Pour les catégories de contenu transfrontalières — biens contrefaits, fraude financière, usurpation de marque — l’effet pratique est la concentration des candidatures de signaleurs de confiance dans les États membres dotés des coordinateurs les plus opérationnels, ce qui à son tour façonne quelles plateformes voient quels types de notifications le plus souvent.
Désignations de signaleurs de confiance en pratique
En mai 2026, plusieurs dizaines d’entités à travers l’UE ont été désignées comme signaleurs de confiance au titre de l’article 22 du DSA. Les désignations reflètent les priorités de chaque DSC et les domaines substantiels où la société civile, l’industrie, et les organisations spécialisées sont les plus actives. Les exemples suivants — tirés d’annonces publiques des DSC — illustrent l’éventail de types organisationnels et de domaines de contenu dans le cadre.
En Allemagne, la Bundesnetzagentur a certifié Bundesverband Onlinehandel e.V. (BVOH), HateAid gGmbH, et Verbraucherzentrale Bundesverband e.V. (vzbv) en juin 2025. BVOH se concentre sur la protection juridique commerciale et la concurrence déloyale sur les places de marché en ligne — annonces contrefaites, violations de publicité comparative, concurrence déloyale. HateAid se concentre sur la violence numérique, la fraude et la tromperie sur les réseaux sociaux. vzbv se concentre sur les droits des consommateurs, la sécurité des produits, et la fraude au commerce électronique. Les trois désignations illustrent comment un seul DSC peut bâtir une couverture à travers des catégories de contenu distinctes avec des partenaires de société civile distincts.
En France, l’Arcom a désigné l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle, axée sur le piratage audiovisuel), l’IFAW (International Fund for Animal Welfare, axé sur le contenu de commerce illégal d’espèces sauvages), INDECOSA-CGT (une association de consommateurs), Point de Contact (axé sur le contenu illégal dont CSAM et contenu terroriste), et Addictions France (axée sur la promotion illégale de produits addictifs). La liste française illustre une distribution de catégories plus diversifiée, incluant des lignes d’assistance spécialisées qui traitent le CSAM et le contenu terroriste.
En Italie, l’AGCOM a désigné Argo Business Solutions S.r.l. comme le premier signaleur de confiance du pays en janvier 2025, axé sur la contrefaçon de propriété intellectuelle et la fraude en ligne. Cette désignation marque une caractéristique structurelle notable : le premier signaleur de confiance italien est une société commerciale de sécurité numérique plutôt qu’une organisation de société civile, reflétant l’ouverture du DSA aux associations sectorielles et aux entités commerciales spécialisées comme signaleurs de confiance éligibles au titre de l’article 22(2).
À travers les États membres, le cadre des signaleurs de confiance reste un régime émergent plutôt que pleinement institutionnalisé. De nombreux DSC n’ont pas encore émis de désignations. Plusieurs États membres sont bloqués par des procédures d’infraction CJUE en cours. Les lignes directrices 2026 à venir de la Commission au titre de l’article 22(8) sont susceptibles de standardiser les procédures de candidature et les critères d’évaluation à travers les DSC. La période 2025-2026 représente donc une fenêtre dans laquelle les organisations de société civile, les associations sectorielles, et les entités spécialisées avec une expertise substantielle peuvent s’établir dans le cadre — à condition qu’elles puissent démontrer la diligence et l’exactitude que l’article 22(2)(c) exige.
Sanctions, révocation, et contre-mesures des plateformes
Le régime de sanctions du DSA opère sur deux voies parallèles : les sanctions contre les fournisseurs de services dans le champ d’application pour les violations du DSA, et le régime de suspension ou de révocation pour les signaleurs de confiance qui abusent de leur statut. Les deux voies s’appuient sur des preuves documentaires — du comportement de la plateforme dans le premier cas, de la qualité des notifications du signaleur de confiance dans le second — et la qualité documentaire de cette preuve affecte directement les résultats.
Les sanctions contre les plateformes au titre de l’article 52 doivent être effectives, proportionnées, et dissuasives, avec des montants maximaux fixés au plus élevé de 6 % du chiffre d’affaires annuel mondial du fournisseur au cours de l’exercice précédent, ou — pour le défaut de fourniture d’informations correctes, complètes, ou de se soumettre à une inspection sur place — 1 % du revenu annuel ou du chiffre d’affaires annuel mondial. Les lois nationales fixent les maxima spécifiques dans le cadre du DSA. Pour les VLOP et VLOSE, où la Commission a une compétence d’application exclusive sur les obligations de risque systémique, les sanctions sont imposées directement par la Commission au titre de l’article 74. En 2026, la Commission a ouvert plusieurs procédures formelles contre des VLOP désignés.
La gestion par les plateformes des abus de signaleurs de confiance est structurée par l’article 22(6). Lorsqu’un fournisseur de plateforme en ligne a des informations indiquant qu’un signaleur de confiance a soumis un nombre significatif de notifications insuffisamment précises, inexactes, ou inadéquatement étayées — y compris des informations recueillies via le système interne de traitement des réclamations de l’article 20 — le fournisseur doit communiquer ces informations au DSC qui a accordé le statut, avec les explications nécessaires et les documents à l’appui. Le DSC évalue alors s’il faut ouvrir une enquête, durant laquelle le statut de signaleur de confiance est suspendu.
La révocation au titre de l’article 22(7) est l’étape terminale. Le DSC qui a accordé le statut révoque le statut de signaleur de confiance s’il détermine, à la suite d’une enquête, que l’entité ne satisfait plus aux conditions de l’article 22(2). Avant de révoquer, le DSC doit donner à l’entité une occasion de répondre. Les protections procédurales suivent la procédure administrative standard : notification, occasion d’être entendu, décision motivée, recours juridictionnel au titre du droit national. Du point de vue du signaleur de confiance, toute la chaîne de révocation est documentaire — et un dossier de notifications de haute qualité, soutenues par la forensique, est la défense la plus solide contre les procédures de révocation.
Le lien avec la préservation des preuves est direct. Une contestation de plateforme au titre de l’article 22(6) est, en son cœur, un litige probant sur si des notifications passées spécifiques étaient « insuffisamment précises, inexactes, ou inadéquatement étayées ». Un signaleur de confiance qui a produit chaque notification contestée avec un paquet de preuve forensique vérifiable — préservé au moment de l’identification, scellé avec un horodatage électronique qualifié eIDAS, ancré dans la blockchain Bitcoin, vérifiable indépendamment — peut produire ce paquet à la demande du DSC et démontrer que la notification était, au moment de la soumission, substantiellement étayée. Un signaleur de confiance qui s’est appuyé sur des captures d’écran volatiles ne peut pas produire de preuve équivalente, et l’enquête du DSC procède contre une défense structurellement plus faible.
DSA, NIS2, DORA et GDPR : preuve intercadre
Le DSA opère au sein d’un cluster réglementaire numérique de l’UE élargi qui inclut aussi NIS2, DORA, GDPR, et des instruments sectoriels. Différents régimes appliquent différentes obligations à différentes entités, mais en pratique un seul incident ou événement de contenu peut déclencher des obligations au titre de plusieurs cadres à la fois. Les signaleurs de confiance et les auteurs de notifications DSA qui bâtissent des paquets de preuve intercadre cohérents évitent le travail de capture redondant et produisent une preuve qui satisfait plusieurs régulateurs simultanément.
L’interface la plus claire est avec NIS2 et DORA pour le contenu lié à la cybersécurité. Une page de hameçonnage usurpant une banque est, du point de vue de l’équipe de conformité de la banque, un incident DORA au titre de l’article 19 (perturbation opérationnelle affectant les clients) et potentiellement un incident NIS2 si la chaîne d’approvisionnement TIC de la banque est aussi affectée. Du point de vue d’un signaleur de confiance comme la Banque centrale d’Irlande (dans le rôle pour lequel elle a publiquement indiqué son intérêt), la même page de hameçonnage est l’objet d’une notification de l’article 16 du DSA à la plateforme hébergeant l’infrastructure de hameçonnage. Une seule capture forensique de la page de hameçonnage — avec horodatage qualifié eIDAS et ancrage blockchain Bitcoin — soutient le signalement DORA, le signalement NIS2 via le canal de coopération de l’article 47, et la notification DSA elle-même.
L’interface avec le GDPR est similaire. De nombreuses catégories de notifications DSA impliquent une exposition de données personnelles — faux portails KYC collectant des images de passeports et de permis de conduire, sites d’arnaque amoureuse collectant des scans de documents d’identité, pages d’usurpation de marque avec récolte d’identifiants incluant des informations personnellement identifiables. Du point de vue du GDPR, le responsable du traitement affecté par la violation peut avoir des obligations de notification de l’article 33 à l’autorité de protection des données pertinente. La même capture forensique qui soutient la notification de l’article 16 du DSA soutient la trace probante de l’article 33 du GDPR.
Les plateformes comme GetProofAnchor sont conçues pour produire des paquets de preuve qui satisfont plusieurs régulateurs à partir d’une seule capture faite au moment de l’identification. Le ZIP de preuve — scellé avec un horodatage qualifié eIDAS délivré par un prestataire de services de confiance qualifié inscrit dans l’UE, ancré indépendamment dans la blockchain Bitcoin via OpenTimestamps, et fourni avec un utilitaire de vérification open source — fonctionne également pour une notification de l’article 16 du DSA, un rapport d’incident parallèle de l’article 19 de DORA (le cas échéant), une notification parallèle par le canal de coopération NIS2 (article 47 de DORA), et une trace probante de l’article 33 du GDPR. La preuve est vérifiable indépendamment par tous ces destinataires sans dépendance envers l’entité productrice ni envers GetProofAnchor lui-même.
L’efficacité opérationnelle de la preuve intercadre devient la plus visible à l’échelle. Un signaleur de confiance produisant 5 000 notifications par an, où 20 % de ces notifications impliquent aussi des données personnelles, peut faire face à des implications de l’article 33 du GDPR pour certaines catégories. Une seule architecture de preuve cohérente — capturer une fois à l’identification, empaqueter une fois avec les primitives d’intégrité, distribuer à plusieurs régulateurs à mesure que les obligations juridiques de chacun deviennent applicables — est substantiellement plus efficace que de maintenir des flux de preuve séparés pour chaque cadre réglementaire. Elle est aussi plus défendable lorsque les contestations au titre d’un cadre s’appuient sur l’intégrité de la preuve utilisée au titre d’un autre.
Liste de contrôle des preuves de notification DSA (15 points)
La liste de contrôle suivante consolide les priorités opérationnelles de ce guide pour les entités préparant des notifications DSA, postulant au statut de signaleur de confiance, ou opérant comme signaleurs de confiance désignés. Ce n’est pas un conseil juridique pour une situation spécifique, mais elle capture les caractéristiques distinctives des entités opérationnellement prêtes pour le DSA par opposition à celles qui traitent encore le régime comme une conformité documentaire.
- Déterminez si votre entité est candidate au statut de signaleur de confiance au titre de l’article 22 (ou si vous soumettez des notifications comme notifiant ordinaire) et documentez l’analyse.
- Identifiez le coordinateur pour les services numériques de l’État membre où votre entité est établie ; vérifiez le statut opérationnel du DSC, y compris toute procédure d’infraction CJUE en cours qui pourrait affecter les délais de candidature.
- Définissez spécifiquement votre domaine d’expertise désigné — les catégories de contenu substantielles dans lesquelles votre statut de signaleur de confiance opérera. La désignation est spécifique à la catégorie, pas générique.
- Documentez votre indépendance des fournisseurs de plateformes en ligne : structure de gouvernance, sources de financement, relations contractuelles, conduite historique. Maintenez cette documentation dans le cadre d’une conformité continue, pas seulement à la candidature.
- Bâtissez un workflow de notification structuré qui capture, au moment de l’identification du contenu, les quatre éléments obligatoires de l’article 16(2) : explication étayée, emplacement électronique exact, identité du notifiant, déclaration de bonne foi.
- Mettez en œuvre des procédures de capture forensique pour les catégories de contenu illégal spécifiques dans votre désignation : annonces contrefaites, usurpation de marque, fraude financière, discours de haine, ou autres domaines pertinents. Chaque catégorie a des exigences probantes distinctives.
- Liez les artefacts de capture ensemble via des manifestes cryptographiques (SHA-256 sur tous les fichiers) et scellez l’empreinte du manifeste via un prestataire de services de confiance qualifié inscrit dans l’UE pour un horodatage électronique qualifié au titre de l’article 42 du règlement (UE) 910/2014.
- Ancrez chaque paquet de preuve indépendamment — par exemple, via la blockchain Bitcoin via OpenTimestamps — afin que l’intégrité puisse être vérifiée sans dépendre de l’entité signaleur de confiance, du prestataire de services de confiance, ni d’un quelconque point de défaillance unique.
- Documentez la chaîne de preuve conformément aux phases de l’ISO/IEC 27037:2012 (identification, collecte, acquisition, préservation) pour chaque élément de preuve, avec les rôles, horodatages, et actions enregistrés.
- Soumettez les notifications via le mécanisme de l’article 16 de la plateforme avec la preuve forensique préservée jointe ou liée depuis un emplacement vérifiable. Maintenez le paquet de preuve original dans votre propre archive conservée indépendamment de la méthode de livraison à la plateforme.
- Suivez systématiquement les réponses des plateformes : exposé des motifs de l’article 17 reçu, restriction ou non-restriction de contenu, réclamations internes de l’article 20 des destinataires, résultats de règlement des litiges de l’article 21. Chaque réponse fait partie du dossier documentaire pour le rapport annuel de l’article 22(3).
- Maintenez des procédures pour répondre aux contestations des plateformes au titre de l’article 22(6). Lorsqu’une plateforme met en question la précision ou l’étayage d’une notification, le paquet de preuve forensique préservé est la défense.
- Préparez le rapport de transparence annuel de l’article 22(3) systématiquement tout au long de l’année plutôt que rétrospectivement. Chaque notification devrait être catégorisée à la soumission, avec la réponse de la plateforme capturée automatiquement, afin que le rapport de fin d’année soit un résumé plutôt qu’une reconstruction.
- Cartographiez les interactions intercadre entre les notifications DSA et les obligations parallèles au titre de NIS2, DORA, l’article 33 du GDPR, et la réglementation sectorielle. Une architecture de preuve intercadre cohérente est plus défendable que des flux séparés parallèles.
- Rendez chaque paquet de preuve vérifiable indépendamment par des tiers — DSC, plateformes, destinataires contestant les décisions de restriction, tribunaux, chercheurs, régulateurs — à l’aide d’outils de vérification open source et sans dépendance envers l’infrastructure de l’entité productrice.
Questions fréquentes et conclusion
Les réponses suivantes traitent des questions qui surviennent le plus souvent lorsque les entités commencent à opérationnaliser les workflows de notification DSA et de signaleur de confiance. Elles sont destinées comme orientation pratique, pas comme conseil juridique pour une situation spécifique.
Qu’est-ce qui rend une notification DSA « suffisamment étayée » au titre de l’article 16 ?
Les individus peuvent-ils devenir signaleurs de confiance au titre du DSA ?
Le statut de signaleur de confiance s’applique-t-il à l’échelle de l’UE ou seulement dans l’État membre de désignation ?
Que se passe-t-il si une plateforme ignore une notification de signaleur de confiance ?
Combien de temps prend le processus de candidature au statut de signaleur de confiance de l’article 22 ?
Quelle est la relation entre les notifications de l’article 16 du DSA et le retrait pour droit d’auteur au titre de l’InfoSoc/article 17 de la directive CDSM ?
Les captures d’écran sont-elles une preuve suffisante pour une notification de l’article 16 du DSA ?
Qu’est-ce que la base de données de transparence du DSA, et comment interagit-elle avec les notifications ?
Un signaleur de confiance peut-il perdre son statut pour avoir soumis trop peu de notifications ?
Qu’advient-il des exigences de préservation de preuves lorsque le contenu est retiré avant que la notification ne soit traitée ?
Comment le renvoi CJUE tchèque affecte-t-il les candidatures tchèques de signaleur de confiance ?
Les VLOP sont-ils soumis à des obligations de traitement des notifications différentes de celles des plus petites plateformes ?
En quoi la preuve web forensique diffère-t-elle d’une capture d’écran à des fins DSA ?
Combien de temps la preuve liée au DSA doit-elle être conservée ?
Comment GetProofAnchor soutient-il spécifiquement le traitement des preuves de notification DSA et de signaleur de confiance ?
Deux ans après le début de l’application complète du DSA, le règlement s’est installé dans une forme opérationnelle reconnaissable. Les plateformes ont développé les mécanismes de notification de l’article 16. Les DSC dans la plupart des États membres opérationnellement habilités ont désigné des signaleurs de confiance. La Commission a ouvert des procédures contre plusieurs VLOP et prépare les lignes directrices sur les signaleurs de confiance pour adoption fin 2026. Les affaires d’infraction CJUE contre la Tchéquie, l’Espagne, Chypre, la Pologne et le Portugal suivent leur cours en contentieux. Le cadre des signaleurs de confiance, en particulier, est passé du théorique au pratiquement actif.
Les capacités qui distinguent les entités opérationnellement prêtes pour le DSA sont reconnaissables. Des workflows de détection qui identifient rapidement le contenu illégal dans les domaines d’expertise désignés. Des procédures de notification qui capturent les quatre éléments de l’article 16(2) avec intégrité forensique au moment de l’identification. Une infrastructure de rapport annuel qui produit les rapports de transparence au titre de l’article 22(3) comme documentation accumulée plutôt que reconstruction de fin d’année. Des procédures de défense pour les contestations de plateforme de l’article 22(6) qui reposent sur une preuve préservée plutôt que des comptes rendus reconstitués. Aucune de ces capacités n’est exotique ; ce qui distingue les entités bien préparées, c’est qu’elles sont toutes en place avant la première contestation de plateforme.
GetProofAnchor existe pour rendre le composant de préservation forensique de cette pile — spécifiquement le contenu illégal tourné vers le web qui disparaît le plus vite dans les heures suivant l’identification — simple, défendable, et vérifiable indépendamment à travers le régime de notification et action du DSA. Si votre organisation prépare une candidature de signaleur de confiance, opère comme signaleur de confiance désigné, ou bâtit des workflows de notification structurés au titre de l’article 16, le moyen le plus direct de voir comment la capture web forensique à horodatage qualifié s’intègre aux exigences de preuve du DSA est de créer un exemple de preuve à partir de toute URL publique et d’inspecter le ZIP de preuve. La vérification est open source et s’exécute sur n’importe quel ordinateur portable. Le standard est reproductible parce que, dans le travail de notification DSA, il doit l’être.
Guides connexes
-
Workflows de preuve pour la protection de marqueGuide complet des workflows de preuve pour la protection de marque : retraits au titre de l’article 16 du DSA, Amazon VeRO, procédures UDRP, capture par lots, et intégration API pour une évolutiv...
-
Conformité DORA en 2026Délais de signalement de l’article 19 (initial à 4 heures, intermédiaire à 72 heures, final à 1 mois), classification des incidents majeurs au titre du règlement délégué 202...
-
Preuves d’incidents de cybersécurité NIS2Délais de signalement de l’article 23, seuils d’incident significatif, préservation de preuves forensiques, et responsabilité des dirigeants au titre de NIS2.
-
Article 50 de l’AI Act de l’UEGuide de conformité complet 2026 sur l’article 50 de l’AI Act de l’UE.
-
La Wayback Machine comme preuve judiciaire en 2026Guide complet 2026 sur l’utilisation des instantanés de la Wayback Machine comme preuve judiciaire.
Bâtissez des preuves de notification prêtes pour le DSA avant que le contenu ne disparaisse
Créez une preuve inviolable de toute URL publique avec des horodatages qualifiés eIDAS et un ancrage indépendant dans la blockchain Bitcoin. La vérification est open source. Conçu pour les exigences de notification de l’article 16 du DSA, le rapport de transparence des signaleurs de confiance de l’article 22, et la preuve intercadre à travers NIS2, DORA, et GDPR.
GetProofAnchor est conçu pour la capture de preuve web forensique à travers la réglementation numérique de l’UE. Les captures sont scellées avec des horodatages électroniques qualifiés au titre de l’article 42 d’eIDAS par un prestataire de services de confiance accrédité inscrit sur l’EU Trusted List.