Règlement sur les services numériques — audits pour les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne

POINTS CLÉS

Les audits indépendants constituent un outil important pour superviser la conformité des VLOP et des VLOSE avec les règles du DSA. En vertu du DSA, les fournisseurs de VLOP et de VLOSE doivent se soumettre à des audits indépendants à leurs propres frais au moins une fois par an.

Les VLOP et les VLOSE sont définis comme ceux qui comptent plus de 45 millions d’utilisateurs dans l’Union européenne (UE) sur la base de la moyenne mensuelle des bénéficiaires actifs du service. Ils doivent faire l’objet d’audits réguliers afin de s’assurer qu’ils respectent les responsabilités qui leur incombent en vertu du DSA. Le règlement précise la portée, les procédures et les méthodes de ces audits, en garantissant la cohérence, la transparence et la comparabilité des résultats dans l’ensemble du secteur.

Le processus d’audit prévoit plusieurs phases, y compris la phase de préparation, où le plan d’audit est établi, la phase de rapport, où l’auditeur fournit un rapport d’audit détaillé, et une phase de mise en œuvre, dans laquelle le fournisseur audité rend compte des mesures qu’il prend ou a prises à la suite des recommandations de l’auditeur. Ces rapports sont partagés avec la Commission européenne et les organismes réglementaires concernés.

Portée de l’audit et sélection des auditeurs

• L’audit doit être effectué pour évaluer le respect des obligations par le fournisseur, avec un niveau d’assurance raisonnable.
• Les audits doivent être effectués au moins une fois par an.
• Les audits doivent couvrir la période depuis le dernier audit et prendre fin à une date qui permet d’achever l’audit de manière à ce qu’il y ait au moins un rapport d’audit par an.
• En l’absence d’audit précédent, l’obligation d’audit démarre quatre mois après la désignation d’un service comme VLOP ou VLOSE, et un audit doit être réalisé dans un délai d’un an à compter de cette date.
• Le fournisseur doit sélectionner un organisme d’audit qui satisfait aux exigences du DSA, en particulier les exigences en matière d’indépendance, d’expertise et d’éthique.
• Si l’organisme d’audit comprend plusieurs entités ou sous-traitants, ils doivent satisfaire individuellement aux exigences légales et satisfaire conjointement aux exigences collectives.

Coopération

• Avant l’audit, le fournisseur doit fournir à l’auditeur les informations pertinentes sur les contrôles internes, l’analyse des risques et les systèmes informatiques.
• Le fournisseur doit accorder un accès complet aux données, au personnel et aux systèmes à des fins d’audit.
• Le fournisseur doit aider l’organisme d’audit à analyser et tester les informations fournies.
• Le fournisseur et l’auditeur doivent convenir par écrit de la portée de l’audit, des responsabilités et du calendrier, et cet accord doit être annexé au rapport d’audit.
• Tout changement apporté à l’accord au cours de l’audit doit être indiqué dans le rapport.

Méthodes

Le règlement délégué définit des procédures d’audit complètes afin de garantir des évaluations rigoureuses et cohérentes. Les organismes d’audit doivent respecter des exigences strictes en matière d’indépendance et prouver l’absence de conflits d’intérêts. Les organismes d’audit doivent évaluer les risques d’aboutir à des conclusions d’audit erronées et minimiser ces risques d’audit lorsqu’ils élaborent leurs méthodes d’audit. Pour certaines dispositions du DSA, les règles relatives aux méthodes d’audit et aux procédures comportent des exigences spécifiques, telles que ce qui suit.

• Évaluation des risques. Les auditeurs doivent évaluer la conformité des plateformes aux obligations de gestion des risques concernant les risques systémiques tels que le risque de diffuser du contenu illicite.
• Atténuation des risques. Les auditeurs évaluent la manière dont les fournisseurs traitent les risques au moyen de mesures d’atténuation efficaces, qui peuvent s’appuyer, par exemple, sur les pratiques de modération de contenu et sur la transparence des algorithmes.
• Mécanisme de réaction aux crises. Les auditeurs examinent la capacité du fournisseur à réagir aux crises, comme les pics dans la prévalence de désinformation lors des élections ou des situations d’urgence de santé publique.

Le texte spécifie également les exigences en matière d’indépendance des auditeurs, d’accès aux informations, de méthodes d’échantillonnage et de modèles pour le rapport d’audit et le rapport sur la mise en œuvre des recommandations d’audit.

Conclusions et recommandations

• Le rapport d’audit doit être détaillé et inclure des justifications pour les résultats obtenus en suivant un modèle spécifique.
• Le règlement fournit des modèles de rapports d’audit, garantissant que toutes les plateformes et auditeurs respectent un format de déclaration cohérent, afin de faciliter la comparaison des résultats entre les différents audits et organismes.
• L’organisme d’audit doit rendre des avis d’audit globaux sur le respect des obligations du DSA et des engagements volontaires en vertu de codes de conduite ou de protocoles de crise.
• Les conclusions d’audit sur le respect de chaque obligation ou engagement audités sont classées comme suit:
  • positives: la conformité est respectée;
  • positives et assorties de commentaires: la conformité est respectée, mais avec des remarques ou des suggestions d’amélioration;
  • négatives: la conformité n’est pas respectée, avec des conseils sur les moyens d’améliorer.
• Les recommandations doivent aborder des problèmes spécifiques identifiés lors de l’audit, en expliquant leur impact.

Trois mois après la réalisation de l’audit, les fournisseurs de VLOP et de VLOSE doivent publier le rapport d’audit, contribuant ainsi à une transparence accrue. La Commission et les autres autorités de contrôle peuvent prendre en compte les résultats de l’audit dans le contrôle du respect du DSA.