(1)

Le présent règlement vise à assurer le bon fonctionnement du marché unique numérique dans une société ouverte et démocratique, en luttant contre l’utilisation abusive des services d’hébergement à des fins terroristes et en contribuant à la sécurité publique dans toute l’Union. Il convient d’améliorer le fonctionnement du marché unique numérique en renforçant la sécurité juridique pour les fournisseurs de services d’hébergement et la confiance des utilisateurs dans l’environnement en ligne, ainsi que les garanties en matière de liberté d’expression, en ce compris la liberté de recevoir et de communiquer des informations et des idées dans une société ouverte et démocratique, et la liberté et le pluralisme des médias.

(2)

Les mesures réglementaires visant à lutter contre la diffusion des contenus à caractère terroriste en ligne devraient être complétées par des stratégies des États membres visant à lutter contre le terrorisme, comprenant le renforcement de l’éducation aux médias et de l’esprit critique, l’élaboration de discours alternatifs et de contre-discours, et d’autres initiatives visant à réduire l’impact des contenus à caractère terroriste en ligne et la vulnérabilité à l’égard de ces contenus, ainsi que l’investissement dans le travail social, des initiatives de déradicalisation et un dialogue avec les communautés touchées, afin de parvenir à une prévention durable de la radicalisation dans la société.

(3)

La lutte contre la diffusion des contenus à caractère terroriste en ligne, qui fait partie du problème plus large des contenus illicites en ligne, requiert une combinaison de mesures législatives, non législatives et volontaires, fondées sur une collaboration entre les autorités et les fournisseurs de services d’hébergement, établie dans le strict respect des droits fondamentaux.

(4)

Les fournisseurs de services d’hébergement actifs sur l’internet jouent un rôle essentiel dans l’économie numérique en mettant en relation les entreprises et les citoyens et en facilitant le débat public ainsi que la diffusion et la réception d’informations, d’opinions et d’idées, ce qui contribue de manière significative à l’innovation, à la croissance économique et à la création d’emplois dans l’Union. Les services de fournisseurs de services d’hébergement font cependant parfois l’objet d’abus de la part de tiers aux fins d’activités illégales en ligne. L’utilisation abusive de ces services par des groupes terroristes et leurs sympathisants pour diffuser des contenus à caractère terroriste en ligne dans le but de propager leur message, de radicaliser et de recruter des adeptes, ainsi que de faciliter et diriger des activités terroristes, est particulièrement préoccupante.

(5)

Bien que la présence de contenus à caractère terroriste en ligne ne soit pas le seul facteur de radicalisation, elle s’est révélée un catalyseur de la radicalisation de personnes pouvant mener à des actes terroristes, et elle a dès lors de graves conséquences négatives pour les utilisateurs, les citoyens et la société au sens large, ainsi que pour les fournisseurs de services en ligne qui hébergent ce type de contenu dès lors que cela sape la confiance de leurs utilisateurs et nuit à leurs modèles commerciaux. Étant donné le rôle central qu’ils jouent et les moyens et capacités technologiques associés aux services qu’ils fournissent, les fournisseurs de services d’hébergement ont pour responsabilités sociétales particulières de préserver leurs services d’une utilisation abusive par des terroristes et d’aider à lutter contre les contenus à caractère terroriste diffusés par l’intermédiaire de leurs services en ligne, tout en tenant compte de l’importance fondamentale que revêt la liberté d’expression, en ce compris la liberté de recevoir et de communiquer des informations et des idées dans une société ouverte et démocratique.

(6)

Les efforts de lutte contre les contenus à caractère terroriste en ligne ont commencé à être déployés au niveau de l’Union en 2015 dans le cadre d’une coopération volontaire entre les États membres et les fournisseurs de services d’hébergement. Il y a lieu de compléter ces efforts par un cadre législatif clair afin de réduire davantage l’accessibilité des contenus à caractère terroriste en ligne et de s’attaquer de manière adéquate à un problème qui évolue rapidement. Le cadre législatif vise à se fonder sur les efforts volontaires, qui ont été intensifiés par la recommandation (UE) 2018/334 de la Commission (3), et répond aux appels lancés par le Parlement européen afin de renforcer les mesures visant à lutter contre les contenus illégaux et dangereux en ligne conformément au cadre horizontal établi par la directive 2000/31/CE du Parlement européen et du Conseil (4), ainsi que par le Conseil européen, afin d’améliorer la détection et le retrait des contenus en ligne qui incitent à la commission d’actes terroristes.

(7)

Le présent règlement ne devrait pas avoir d’incidence sur l’application de la directive 2000/31/CE. En particulier, aucune des mesures prises par un fournisseur de services d’hébergement dans le respect du présent règlement, y compris les mesures spécifiques, ne devrait en soi entraîner la perte par ce fournisseur de services d’hébergement du bénéfice de l’exemption de responsabilité prévue dans ladite directive. De plus, le présent règlement n’affecte pas les pouvoirs dont disposent les autorités et les juridictions nationales d’établir la responsabilité des fournisseurs de services d’hébergement lorsque les conditions énoncées dans ladite directive pour bénéficier de l’exemption de responsabilité ne sont pas réunies.

(8)

En cas de conflit entre le présent règlement et la directive 2010/13/UE du Parlement européen et du Conseil (5) en ce qui concerne les dispositions régissant les services de médias audiovisuels définis à l’article 1er, paragraphe 1, point a), de ladite directive, ladite directive devrait prévaloir. Cela ne devrait pas avoir d’effet sur les obligations au titre du présent règlement, en particulier en ce qui concerne les fournisseurs de plateformes de partage de vidéos.

(9)

Le présent règlement devrait énoncer des règles visant à lutter contre l’utilisation abusive de services d’hébergement pour diffuser des contenus à caractère terroriste en ligne afin de garantir le bon fonctionnement du marché intérieur. Ces règles devraient pleinement respecter les droits fondamentaux bénéficiant d’une protection dans l’Union et, en particulier, ceux garantis par la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»).

(10)

Le présent règlement entend contribuer à la protection de la sécurité publique tout en mettant en place des garanties appropriées et solides qui permettent d’assurer la protection des droits fondamentaux, en ce compris les droits au respect de la vie privée, à la protection des données à caractère personnel, à la liberté d’expression, y compris la liberté de recevoir et de communiquer des informations, la liberté d’entreprise et le droit à un recours effectif. De plus, toute discrimination est interdite. Les autorités compétentes et les fournisseurs de services d’hébergement devraient uniquement adopter les mesures qui sont nécessaires, appropriées et proportionnées au sein d’une société démocratique, en tenant compte de l’importance particulière accordée à la liberté d’expression et d’information, et à la liberté et au pluralisme des médias, qui constituent les fondements essentiels d’une société pluraliste et démocratique et sont les valeurs sur lesquelles l’Union est fondée. Les mesures qui ont une incidence sur la liberté d’expression et d’information devraient être strictement ciblées de façon à lutter contre la diffusion des contenus à caractère terroriste en ligne tout en respectant le droit de recevoir et de communiquer des informations de manière licite, en tenant compte du rôle central que jouent les fournisseurs de services d’hébergement pour faciliter le débat public ainsi que la diffusion et la réception d’informations factuelles, d’opinions et d’idées, conformément au droit. Des mesures efficaces en ligne pour lutter contre les contenus à caractère terroriste en ligne et la protection de la liberté d’expression et d’information ne sont pas des objectifs contradictoires, mais complémentaires et qui se renforcent mutuellement.

(11)

Dans un souci de clarté concernant les actions que tant les fournisseurs de services d’hébergement que les autorités compétentes doivent prendre pour lutter contre la diffusion des contenus à caractère terroriste en ligne, il convient que le présent règlement établisse, à des fins de prévention, une définition des «contenus à caractère terroriste» qui soit cohérente avec les définitions d’infractions pertinentes prévues par la directive (UE) 2017/541 du Parlement européen et du Conseil (6). Étant donné la nécessité de s’attaquer à la propagande terroriste en ligne la plus nuisible, cette définition devrait couvrir le matériel qui incite ou invite quelqu’un à commettre des infractions terroristes ou à contribuer à la commission de telles infractions, invite quelqu’un à participer aux activités d’un groupe terroriste ou glorifie les activités terroristes y compris en diffusant du matériel représentant une attaque terroriste. La définition devrait également englober le matériel qui fournit des instructions concernant la fabrication ou l’utilisation d’explosifs, d’armes à feu ou d’autres armes, ou de substances nocives ou dangereuses, ainsi que de substances chimiques, biologiques, radiologiques et nucléaires (CBRN), ou concernant d’autres méthodes ou techniques spécifiques, y compris le choix de cibles, aux fins de la commission ou de la contribution à la commission d’infractions terroristes. Un tel matériel comprend des textes, des images, des enregistrements sonores et des vidéos, ainsi que des transmissions en direct d’infractions terroristes, qui entraînent un risque que d’autres infractions de ce type soient commises. Lorsqu’ils évaluent si un matériel constitue un contenu à caractère terroriste au sens du présent règlement, les autorités compétentes et les fournisseurs de services d’hébergement devraient tenir compte de facteurs tels que la nature et la formulation de déclarations, le contexte dans lequel les déclarations ont été faites et le fait qu’elles soient susceptibles d’engendrer des conséquences préjudiciables pour la sécurité et la sûreté des personnes. Le fait que le matériel a été produit par une personne, un groupe ou une entité figurant sur la liste de l’Union des personnes, groupes et entités impliqués dans des actes terroristes et sujets à des mesures restrictives, ou qu’il a été diffusé au nom d’une telle personne, d’un tel groupe ou d’une telle entité, ou est imputable à une telle personne, un tel groupe ou une telle entité, devrait constituer un élément important de l’évaluation.

(12)

Le matériel diffusé à des fins éducatives, journalistiques, artistiques ou de recherche, ou à des fins de sensibilisation contre les activités terroristes ne devrait pas être considéré comme étant un contenu à caractère terroriste. Pour déterminer si le matériel fourni par un fournisseur de contenus constitue un «contenu à caractère terroriste» au sens du présent règlement, il convient de tenir compte en particulier du droit à la liberté d’expression et d’information, y compris la liberté et le pluralisme des médias, et à la liberté des arts et des sciences. En particulier dans les cas où le fournisseur de contenus assume une responsabilité éditoriale, toute décision relative au retrait du matériel diffusé devrait tenir compte des normes journalistiques établies par la réglementation de la presse ou des médias conformément au droit de l’Union, y compris la Charte. En outre, l’expression d’opinions radicales, polémiques ou controversées dans le cadre du débat public sur des questions politiques sensibles ne devrait pas être considérée comme étant un contenu à caractère terroriste.

(13)

Afin de lutter de manière efficace contre la diffusion des contenus à caractère terroriste en ligne, tout en veillant au respect de la vie privée des personnes, le présent règlement devrait s’appliquer aux fournisseurs de services de la société de l’information qui stockent des informations et du matériel fournis par un utilisateur des services sur demande et les diffusent au public, indépendamment de la question de savoir si le stockage et la diffusion au public de tels informations et matériel sont de nature purement technique, automatique et passive. La notion de «stockage» devrait s’entendre comme le fait de détenir des données dans la mémoire d’un serveur physique ou virtuel. Par conséquent, les fournisseurs de services de «simple transport» ou de «mise en cache», ainsi que d’autres services fournis au niveau d’autres couches de l’infrastructure internet qui n’impliquent pas un stockage, tels que les registres ou bureaux d’enregistrement, ainsi que les fournisseurs de noms de domaine (DNS), les services de protection des services de paiement ou de protection contre les attaques par déni de service distribué ne devraient donc pas relever du champ d’application du présent règlement.

(14)

La notion de «diffusion au public» devrait couvrir la mise à disposition d’informations à un nombre potentiellement illimité de personnes, notamment le fait de rendre ces informations aisément accessibles aux utilisateurs en général, sans exiger une intervention supplémentaire du fournisseur de contenus, indépendamment de la question de savoir si ces personnes accèdent effectivement aux informations en question. En conséquence, lorsque l’accès à des informations nécessite un enregistrement ou l’admission dans un groupe d’utilisateurs, ces informations ne devraient être considérées comme étant diffusées au public que lorsque les utilisateurs cherchant à accéder à ces informations sont enregistrés ou admis automatiquement, sans intervention humaine pour en décider ou pour sélectionner les utilisateurs auxquels l’accès est accordé. Les services de communications interpersonnelles, tels qu’ils sont définis à l’article 2, point 5), de la directive (UE) 2018/1972 du Parlement européen et du Conseil (7), comme les courriers électroniques ou les services de messagerie privée, ne devraient pas relever du champ d’application du présent règlement. Les informations ne devraient être considérées comme étant stockées et diffusées au public au sens du présent règlement que lorsque ces activités sont exécutées à la demande directe du fournisseur de contenus. Par conséquent, les fournisseurs de services, tels que les services d’infrastructures en nuage, qui sont fournis à la demande de parties autres que les fournisseurs de contenus et qui ne profitent qu’indirectement à ces derniers, ne devraient pas relever du présent règlement. Le présent règlement devrait couvrir, par exemple, les fournisseurs de médias sociaux, de vidéos, d’images et de services d’audiopartage, ainsi que de services de partage de fichiers et d’autres services en nuage, dans la mesure où ces services sont utilisés pour mettre les informations stockées à la disposition du public à la demande directe du fournisseur de contenus. Lorsqu’un fournisseur de services d’hébergement propose plusieurs services, le présent règlement ne devrait s’appliquer qu’aux services qui relèvent de son champ d’application.

(15)

Les contenus à caractère terroriste sont souvent diffusés au public par l’intermédiaire de services fournis par des fournisseurs de services d’hébergement établis dans des pays tiers. Afin de protéger les utilisateurs dans l’Union et de garantir que tous les fournisseurs de services d’hébergement opérant au sein du marché unique numérique sont soumis aux mêmes exigences, il convient que le présent règlement s’applique à tous les fournisseurs des services concernés proposés dans l’Union, indépendamment du pays de leur établissement principal. Un fournisseur de services d’hébergement devrait être considéré comme offrant des services dans l’Union s’il permet à des personnes physiques ou morales d’un ou de plusieurs États membres d’utiliser ses services et a un lien étroit avec cet État membre ou ces États membres.

(16)

Il devrait exister un lien étroit avec l’Union lorsque le fournisseur de services d’hébergement dispose d’un établissement dans l’Union, que ses services sont utilisés par un nombre significatif d’utilisateurs dans un ou plusieurs États membres ou que ses activités ciblent un ou plusieurs États membres. Le ciblage des activités sur un ou plusieurs États membres devrait être déterminé sur la base de toutes les circonstances pertinentes, y compris des facteurs comme le recours à une langue ou à une monnaie généralement utilisées dans l’État membre concerné, ou la possibilité de commander des biens ou des services depuis cet État membre. Un tel ciblage pourrait également se déduire de la disponibilité d’une application dans la boutique d’applications nationale concernée, de publicités à l’échelle locale ou dans une langue généralement utilisée dans l’État membre concerné, ou de la gestion des relations avec la clientèle, par exemple la fourniture d’un service clientèle dans une langue généralement utilisée dans cet État membre. Un lien étroit devrait également être présumé exister lorsqu’un fournisseur de services d’hébergement dirige ses activités vers un ou plusieurs États membres, comme le prévoit l’article 17, paragraphe 1, point c), du règlement (UE) no 1215/2012 du Parlement européen et du Conseil (8). La seule accessibilité du site internet d’un fournisseur de services d’hébergement, d’une adresse électronique ou d’autres coordonnées de contact dans un ou plusieurs États membres, pris isolément, ne devrait pas être suffisante pour constituer un lien étroit. De plus, la fourniture d’un service en vue du seul respect de l’interdiction de discrimination établie dans le règlement (UE) 2018/302 du Parlement et du Conseil (9) ne devrait pas, pour ce seul motif, être considérée comme constitutive d’un lien étroit avec l’Union.

(17)

Il convient d’harmoniser la procédure et les obligations découlant d’injonctions de retrait exigeant des fournisseurs de services d’hébergement qu’ils retirent les contenus à caractère terroriste ou bloquent l’accès à de tels contenus, à la suite d’une évaluation effectuée par les autorités compétentes. Étant donné la vitesse à laquelle les contenus à caractère terroriste sont diffusés dans l’ensemble des services en ligne, il devrait être fait obligation aux fournisseurs de services d’hébergement de veiller à ce que les contenus à caractère terroriste identifiés dans l’injonction de retrait soient retirés ou que l’accès à ces contenus soit bloqué dans tous les États membres dans un délai d’une heure à compter de la réception de l’injonction de retrait. Sauf dans les cas d’urgence dûment justifiés, l’autorité compétente devrait fournir au fournisseur de services d’hébergement, qui se voit adresser une injonction de retrait pour la première fois, des informations sur les procédures et les délais applicables au moins 12 heures avant l’émission d’une injonction de retrait. Un cas d’urgence dûment justifié se produit lorsque le retrait des contenus à caractère terroriste ou le blocage de l’accès à de tels contenus qui interviendrait plus d’une heure après la réception de l’injonction de retrait entraînerait un grave préjudice, par exemple dans des situations de menace imminente pour la vie ou l’intégrité physique d’une personne, ou lorsque ces contenus représentent des événements en cours entraînant une atteinte à la vie ou à l’intégrité physique d’une personne. L’autorité compétente devrait déterminer si les cas concernés constituent des cas d’urgence et dûment motiver sa décision dans l’injonction de retrait. Lorsque le fournisseur de services d’hébergement ne peut se conformer à l’injonction de retrait dans un délai d’une heure à compter de sa réception, pour des motifs de force majeure ou d’impossibilité de fait, en ce compris pour des raisons techniques ou opérationnelles objectivement justifiables, il convient qu’il en informe l’autorité compétente d’émission dès que possible et qu’il se conforme à l’injonction de retrait dès que la situation est résolue.

(18)

L’injonction de retrait devrait comprendre une motivation qualifiant de contenu à caractère terroriste le matériel à retirer ou auquel l’accès doit être bloqué et fournir des informations suffisantes pour localiser ledit contenu, en indiquant une URL exacte et, au besoin, toute autre information supplémentaire, telle qu’une capture d’écran du contenu en question. Cette motivation devrait permettre au fournisseur de services d’hébergement et, in fine, au fournisseur de contenus d’exercer effectivement leur droit à un recours juridictionnel. La motivation fournie ne devrait pas impliquer la divulgation d’informations sensibles susceptibles de compromettre des enquêtes en cours.

(19)

L’autorité compétente devrait soumettre l’injonction de retrait directement au point de contact désigné ou établi par le fournisseur de services d’hébergement aux fins du présent règlement par tout moyen électronique permettant de produire une trace écrite, dans des conditions qui permettent au fournisseur de services d’hébergement d’établir l’authenticité de l’injonction, en ce compris l’exactitude de la date et de l’heure d’envoi et de réception de celle-ci, tel qu’un courrier électronique ou des plateformes sécurisés ou d’autres canaux sécurisés, y compris ceux mis à disposition par le fournisseur de services d’hébergement, conformément au droit de l’Union sur la protection des données à caractère personnel. Il devrait être possible de satisfaire à cette obligation par l’utilisation, entre autres, de services d’envoi recommandé électronique qualifiés prévus par le règlement (UE) no 910/2014 du Parlement européen et du Conseil (10). Lorsque l’établissement principal du fournisseur de services d’hébergement se situe dans un État membre autre que celui de l’autorité compétente d’émission, ou que son représentant légal réside ou est établi dans un tel État membre, une copie de l’injonction de retrait devrait être transmise simultanément à l’autorité compétente dudit État membre.

(20)

Il devrait être possible pour l’autorité compétente de l’État membre dans lequel le fournisseur de services d’hébergement a son établissement principal, ou dans lequel son représentant légal réside ou est établi, de procéder à un examen approfondi de l’injonction de retrait émise par les autorités compétentes d’un autre État membre afin de déterminer si elle viole de façon grave ou manifeste le présent règlement ou les droits fondamentaux consacrés par la Charte. Tant le fournisseur de contenus que le fournisseur de services d’hébergement devraient avoir le droit de demander qu’un tel examen approfondi soit effectué par l’autorité compétente de l’État membre dans lequel le fournisseur de services d’hébergement a son établissement principal ou dans lequel son représentant légal réside ou est établi. Lorsqu’une telle demande est faite, ladite autorité compétente devrait adopter une décision dans laquelle elle statue quant au fait que l’injonction de retrait contiendrait de telles violations. Si ladite décision constate une telle violation, l’injonction de retrait devrait cesser de produire tout effet juridique. L’examen approfondi devrait être effectué rapidement afin de garantir que les contenus retirés erronément soient rétablis ou que l’accès à des contenus, qui a été bloqué erronément, soit débloqué dès que possible.

(21)

Les fournisseurs de services d’hébergement qui sont exposés à des contenus à caractère terroriste devraient inscrire dans leurs éventuelles conditions générales des dispositions visant à lutter contre l’utilisation abusive de leurs services pour diffuser au public des contenus à caractère terroriste. Ils devraient appliquer ces dispositions de manière diligente, transparente, proportionnée et non discriminatoire.

(22)

Vu l’ampleur du problème et la rapidité nécessaire pour identifier et retirer efficacement les contenus à caractère terroriste, l’adoption de mesures spécifiques efficaces et proportionnées constitue un élément essentiel de la lutte contre les contenus à caractère terroriste en ligne. Afin de réduire l’accessibilité des contenus à caractère terroriste sur leurs services, les fournisseurs de services d’hébergement exposés à des contenus à caractère terroriste devraient mettre en place des mesures spécifiques tenant compte des risques et du degré d’exposition aux contenus à caractère terroriste, ainsi que des effets sur les droits des tiers et sur l’intérêt public à l’information. Les fournisseurs de services d’hébergement devraient déterminer quelles mesures spécifiques appropriées, efficaces et proportionnées devraient être mises en place pour identifier et retirer les contenus à caractère terroriste. Des mesures spécifiques pourraient comprendre des mesures ou des capacités techniques ou opérationnelles appropriées, telles que la dotation en personnel ou des moyens techniques pour identifier et retirer promptement les contenus à caractère terroriste, ou bloquer l’accès à ces contenus, des mécanismes permettant aux utilisateurs de signaler ou de marquer les contenus présumés à caractère terroriste, ou toute autre mesure que le fournisseur de services d’hébergement estime appropriée et efficace pour remédier à la disponibilité de contenus à caractère terroriste sur ses services.

(23)

Lorsqu’ils mettent en place des mesures spécifiques, les fournisseurs de services d’hébergement devraient veiller à ce que le droit des utilisateurs à la liberté d’expression et d’information ainsi que la liberté et le pluralisme des médias, tels qu’ils sont protégés par la Charte, soient préservés. Outre les exigences établies dans la loi, y compris la législation relative à la protection des données à caractère personnel, les fournisseurs de services d’hébergement devraient agir avec toute la diligence requise et mettre en œuvre des garanties, le cas échéant, y compris une surveillance et des vérifications humaines, afin d’éviter des décisions non souhaitées ou erronées conduisant au retrait de contenus ne constituant pas des contenus à caractère terroriste ou au blocage de l’accès à de tels contenus.

(24)

Le fournisseur de services d’hébergement devrait rendre compte à l’autorité compétente des mesures spécifiques mises en place pour permettre à ladite autorité de déterminer si les mesures sont efficaces et proportionnées et si, lorsque des moyens automatisés sont utilisés, le fournisseur de services d’hébergement possède les capacités nécessaires pour la surveillance et la vérification humaines. Pour évaluer l’efficacité et la proportionnalité des mesures, les autorités compétentes devraient tenir compte de paramètres pertinents, comme le nombre d’injonctions de retrait émises à l’attention du fournisseur de services d’hébergement, la taille et la capacité économique du fournisseur de services d’hébergement et l’incidence de ses services sur la diffusion des contenus à caractère terroriste, par exemple, sur la base du nombre d’utilisateurs dans l’Union, ainsi que des garanties mises en place pour lutter contre l’utilisation abusive de ses services pour diffuser des contenus à caractère terroriste en ligne.

(25)

Lorsque l’autorité compétente considère que les mesures spécifiques mises en place sont insuffisantes pour parer aux risques, elle devrait pouvoir exiger l’adoption de mesures spécifiques supplémentaires appropriées, efficaces et proportionnées. L’obligation de mettre en œuvre de telles mesures spécifiques supplémentaires ne devrait pas conduire à une obligation générale de surveillance ou une obligation générale de rechercher activement des faits, au sens de l’article 15, paragraphe 1, de la directive 2000/31/CE, ou à une obligation d’utiliser des outils automatisés. Cependant, les fournisseurs de services d’hébergement devraient pouvoir utiliser des outils automatisés s’ils estiment que cela est approprié et nécessaire pour lutter efficacement contre l’utilisation abusive de leurs services pour diffuser des contenus à caractère terroriste.

(26)

L’obligation pour les fournisseurs de services d’hébergement de conserver les contenus retirés et les données connexes devrait être prévue à des fins précises et limitée à la durée nécessaire. Il est nécessaire d’étendre cette obligation de conservation aux données connexes dans la mesure où ces données seraient autrement perdues en raison du retrait des contenus à caractère terroriste en question. Les données connexes peuvent comprendre les données relatives aux abonnés, notamment les données relatives à l’identité du fournisseur de contenus, ainsi que les données d’accès, y compris les données concernant la date et l’heure de l’utilisation par le fournisseur de contenus et la connexion et la déconnexion du service, de même que l’adresse IP attribuée par le fournisseur d’accès à l’internet au fournisseur de contenus.

(27)

L’obligation de conserver les contenus à des fins de procédures de réexamen administratif ou de contrôle juridictionnel est nécessaire et justifiée compte tenu de la nécessité de garantir que des recours effectifs existent pour les fournisseurs de contenus dont le contenu a été retiré ou au contenu desquels l’accès a été bloqué, ainsi que pour garantir le rétablissement dudit contenu, en fonction de l’issue desdites procédures. L’obligation de conserver le matériel à des fins d’enquête ou de poursuites est justifiée et nécessaire compte tenu de la valeur que le matériel pourrait revêtir pour faire échec aux activités terroristes ou les prévenir. Par conséquent, la conservation des contenus à caractère terroriste retirés à des fins de prévention et de détection d’infractions terroristes, ainsi que d’enquêtes et de poursuites en la matière, devrait également être considérée comme justifiée. Les contenus à caractère terroriste et les données connexes ne devraient être stockés que pour une durée limitée à ce qui est nécessaire pour permettre aux autorités répressives de vérifier lesdits contenus à caractère terroriste et de décider s’ils sont nécessaires à ces fins. Aux fins de la prévention et de la détection d’infractions terroristes, ainsi que des enquêtes et des poursuites en la matière, l’obligation de conservation de données devrait être limitée aux données susceptibles d’avoir un lien avec des infractions terroristes et qui pourraient donc contribuer aux poursuites en matière d’infractions terroristes ou à la prévention de risques graves pour la sécurité publique. Lorsque les fournisseurs de services d’hébergement retirent un matériel ou bloquent l’accès à un matériel, en particulier au moyen de leurs propres mesures spécifiques, ils devraient informer immédiatement les autorités compétentes des contenus comportant des informations impliquant une menace imminente pour la vie ou la suspicion d’infraction terroriste.

(28)

Afin de garantir la proportionnalité, il y a lieu de limiter la période de conservation à six mois afin de donner aux fournisseurs de contenus le temps suffisant pour engager une procédure de réexamen administratif ou de contrôle juridictionnel, et pour permettre aux autorités répressives d’accéder aux données pertinentes à des fins d’enquêtes et de poursuites en matière d’infractions terroristes. Cependant, à la demande de l’autorité ou de la juridiction compétente, il devrait être possible de prolonger cette période aussi longtemps que nécessaire dans les cas où ces procédures sont engagées mais non achevées dans ladite période de six mois. La durée de la période de conservation devrait être suffisante pour permettre aux autorités répressives de conserver le matériel nécessaire en lien avec les enquêtes et les poursuites, tout en assurant l’équilibre avec les droits fondamentaux.

(29)

Le présent règlement ne devrait pas avoir d’incidence sur les garanties procédurales ou sur les mesures d’enquête dans le cadre d’une procédure relatives à l’accès aux contenus et aux données connexes conservés aux fins d’enquêtes et de poursuites en matière d’infractions terroristes, telles qu’elles sont régies par le droit de l’Union ou le droit national.

(30)

La transparence des politiques des fournisseurs de services d’hébergement en ce qui concerne les contenus à caractère terroriste est essentielle afin de les responsabiliser davantage à l’égard de leurs utilisateurs et de renforcer la confiance des citoyens dans le marché unique numérique. Il convient que les fournisseurs de services d’hébergement qui ont pris des mesures ou ont été tenus de prendre des mesures au titre du présent règlement au cours d’une année civile donnée, mettent à la disposition du public des rapports de transparence annuels contenant des informations au sujet des mesures prises en matière d’identification et de retrait des contenus à caractère terroriste.

(31)

Les autorités compétentes devraient publier des rapports de transparence annuels contenant des informations sur le nombre d’injonctions de retrait, le nombre de cas dans lesquels une injonction n’a pas été exécutée, le nombre de décisions concernant des mesures spécifiques, le nombre de cas soumis à une procédure de réexamen administratif ou de contrôle juridictionnel et le nombre de décisions imposant des sanctions.

(32)

Le droit à un recours effectif est consacré à l’article 19 du traité sur l’Union européenne et à l’article 47 de la Charte. Toute personne physique ou morale a droit à un recours effectif devant la juridiction nationale compétente contre toute mesure prise en vertu du présent règlement qui serait susceptible de porter atteinte à ses droits. Ce droit devrait inclure, en particulier, la possibilité pour les fournisseurs de services d’hébergement et les fournisseurs de contenus de contester efficacement une injonction de retrait ou toute décision découlant de l’examen approfondi d’une injonction de retrait au titre du présent règlement devant une juridiction de l’État membre dont l’autorité compétente a, selon le cas, émis l’injonction de retrait ou rendu la décision, ainsi que la possibilité, pour les fournisseurs de services d’hébergement de contester efficacement une décision relative à des mesures spécifiques ou à des sanctions devant une juridiction de l’État membre dont l’autorité compétente a rendu ladite décision.

(33)

Les procédures de réclamation constituent une garantie nécessaire contre le retrait erroné de contenus en ligne ou le blocage erroné de l’accès à des contenus en ligne, lorsqu’un tel contenu est protégé au titre de la liberté d’expression et d’information. Les fournisseurs de services d’hébergement devraient dès lors mettre en place des dispositifs de réclamation conviviaux et veiller à ce que les réclamations soient traitées promptement et en toute transparence à l’égard du fournisseur de contenus. L’obligation faite au fournisseur de services d’hébergement de rétablir les contenus qui ont été retirés erronément, ou auxquels l’accès a été bloqué erronément, ne devrait pas avoir d’incidence sur la possibilité pour le fournisseur de services d’hébergement de faire respecter ses propres conditions générales.

(34)

Le protection juridictionnelle effective prévue à l’article 19 du traité sur l’Union européenne et à l’article 47 de la Charte exige que les fournisseurs de contenus puissent connaître les raisons pour lesquelles les contenus qu’ils fournissent ont été retirés ou pour lesquelles l’accès à ces contenus a été bloqué. À cette fin, il convient que le fournisseur de services d’hébergement mette à la disposition du fournisseur de contenus des informations lui permettant de contester le retrait de contenus ou le blocage d’accès. Selon les circonstances, les fournisseurs de services d’hébergement pourraient remplacer les contenus qui ont été retirés ou auxquels l’accès a été bloqué par un message indiquant que les contenus ont été retirés ou que l’accès à ces contenus a été bloqué conformément au présent règlement. Il y a lieu, à la demande du fournisseur de contenus, de fournir à ce dernier de plus amples informations sur les raisons du retrait de contenus ou du blocage d’accès, ainsi que sur les recours dont il dispose en cas de retrait de contenus ou de blocage d’accès. Lorsque, pour des raisons de sécurité publique, notamment dans le cadre d’une enquête, les autorités compétentes décident qu’il est inapproprié ou contre-productif de notifier directement aux fournisseurs de contenus le retrait de contenus ou le blocage d’accès, elles devraient en informer le fournisseur de services d’hébergement en conséquence.

(35)

Aux fins du présent règlement, les États membres devraient désigner des autorités compétentes. Cela ne doit pas nécessairement conduire à la création d’une nouvelle autorité et il devrait être possible de charger un organisme existant des fonctions prévues par le présent règlement. Le présent règlement devrait exiger la désignation d’autorités compétentes chargées d’émettre les injonctions de retrait, de procéder à un examen approfondi des injonctions de retrait, de superviser les mesures spécifiques, et d’imposer des sanctions, tout en permettant à chaque État membre de décider du nombre d’autorités compétentes à désigner et de leur nature administrative, répressive ou judicaire. Les États membres devraient veiller à ce que les autorités compétentes s’acquittent de leurs tâches de manière objective et non discriminatoire et ne sollicitent ni n’acceptent d’instructions d’aucun autre organisme en ce qui concerne l’accomplissement des tâches au titre du présent règlement. Cela ne devrait pas empêcher un contrôle conformément au droit constitutionnel national. Les États membres devraient communiquer l’identité des autorités compétentes désignées en application du présent règlement à la Commission, laquelle devrait publier en ligne un registre répertoriant les autorités compétentes. Ce registre en ligne devrait être aisément accessible afin de permettre aux fournisseurs de services d’hébergement de vérifier rapidement l’authenticité des injonctions de retrait.

(36)

Afin d’éviter la duplication des efforts et les interférences possibles avec les enquêtes, et de réduire le plus possible la charge pour les fournisseurs de services d’hébergement concernés, les autorités compétentes devraient échanger des informations, se coordonner, et coopérer entre elles et, le cas échéant, avec Europol, avant d’émettre une injonction de retrait. Lorsqu’elle décide d’émettre une injonction de retrait, l’autorité compétente devrait tenir dûment compte de toute notification d’une interférence avec les intérêts d’une enquête (prévention des conflits). Lorsqu’une autorité compétente est informée par une autorité compétente d’un autre État membre de l’existence d’une injonction de retrait, elle ne devrait pas émettre une injonction de retrait portant sur le même objet. Europol pourrait apporter son soutien à la mise en œuvre des dispositions du présent règlement, conformément à son mandat actuel et au cadre juridique existant.

(37)

Afin d’assurer une mise en œuvre efficace et suffisamment cohérente des mesures spécifiques prises par les fournisseurs de services d’hébergement, il convient que les autorités compétentes se coordonnent et coopèrent entre elles au sujet des échanges qu’elles ont avec les fournisseurs de services d’hébergement en ce qui concerne les injonctions de retrait et l’identification, la mise en œuvre et l’évaluation de mesures spécifiques. La coordination et la coopération sont également nécessaires en ce qui concerne les autres mesures de mise en œuvre du présent règlement, y compris en ce qui concerne l’adoption du régime de sanctions et l’imposition de sanctions. La Commission devrait faciliter cette coordination et cette coopération.

(38)

Il est essentiel que l’autorité compétente de l’État membre responsable de l’imposition des sanctions soit pleinement informée de l’émission d’injonctions de retrait et des échanges ultérieurs entre le fournisseur de services d’hébergement et les autorités compétentes d’autres États membres. À cette fin, il convient que les États membres veillent à disposer de canaux et de mécanismes de communication appropriés et sécurisés permettant de partager les informations pertinentes en temps utile.

(39)

Pour faciliter les échanges rapides entre les autorités compétentes ainsi qu’avec les fournisseurs de services d’hébergement, et pour éviter la duplication des efforts, les États membres devraient être encouragés à utiliser les outils dédiés développés par Europol, tels que l’actuelle application de la gestion des signalements sur l’internet ou les outils qui lui succéderont.

(40)

Les signalements effectués par les États membres et Europol se sont révélés un moyen efficace et rapide pour sensibiliser davantage les fournisseurs de services d’hébergement au fait que des contenus spécifiques sont disponibles par l’intermédiaire de leurs services et leur permettre de prendre des mesures rapides. Ces signalements, qui constituent un mécanisme pour avertir les fournisseurs de services d’hébergement de l’existence d’informations susceptibles d’être considérées comme étant des contenus à caractère terroriste afin qu’ils puissent examiner sur une base volontaire la compatibilité desdits contenus avec leurs propres conditions générales, devraient rester disponibles parallèlement aux injonctions de retrait. La décision finale quant au retrait des contenus au motif qu’ils sont incompatibles avec ses conditions générales demeure du ressort du fournisseur de services d’hébergement. Le présent règlement ne devrait avoir aucune incidence sur le mandat d’Europol tel qu’il est établi dans le règlement (UE) 2016/794 du Parlement européen et du Conseil (11). Par conséquent, aucune disposition du présent règlement ne devrait être interprétée comme empêchant les États membres et Europol d’utiliser les signalements comme un instrument de lutte contre les contenus à caractère terroriste en ligne.

(41)

Compte tenu des conséquences particulièrement graves de certains contenus à caractère terroriste en ligne, il convient que les fournisseurs de services d’hébergement informent immédiatement les autorités concernées de l’État membre concerné, ou les autorités compétentes de l’État membre dans lequel ils sont établis ou dans lequel ils disposent d’un représentant légal, des contenus à caractère terroriste impliquant une menace imminente pour la vie ou constituant une suspicion d’infraction terroriste. Afin de garantir la proportionnalité, cette obligation devrait être limitée aux infractions terroristes définies à l’article 3, paragraphe 1, de la directive (UE) 2017/541. Cette obligation d’information ne devrait pas comporter l’obligation pour les fournisseurs de services d’hébergement de rechercher activement d’éventuelles preuves d’une menace imminente pour la vie ou d’une suspicion d’infraction terroriste. L’État membre concerné devrait s’entendre comme étant celui qui est compétent pour connaître des enquêtes et des poursuites concernant ces infractions terroristes, sur la base de la nationalité de l’auteur ou de la victime potentielle de l’infraction ou du lieu visé par l’acte de terrorisme. En cas de doute, les fournisseurs de services d’hébergement devraient soumettre les informations à Europol, auquel il revient d’apporter un suivi approprié conformément à son mandat, y compris en transmettant ces informations aux autorités nationales concernées. Les autorités compétentes des États membres devraient être autorisées à utiliser ces informations pour prendre des mesures d’enquête prévues par le droit de l’Union ou le droit national.

(42)

Les fournisseurs de services d’hébergement devraient désigner ou mettre en place des points de contact afin de faciliter le prompt traitement des injonctions de retrait. Le point de contact devrait servir uniquement pour des objectifs opérationnels. Il convient que le point de contact se compose de tout moyen spécifique, interne ou externalisé, permettant la soumission électronique des injonctions de retrait, et des moyens techniques ou humains permettant de les traiter promptement. Il n’est pas nécessaire que le point de contact soit situé dans l’Union. Le fournisseur de services d’hébergement devrait être libre d’utiliser un point de contact existant aux fins du présent règlement, à condition que le point de contact soit en mesure de remplir les fonctions prévues par le présent règlement. Afin de garantir que les contenus à caractère terroriste sont retirés ou que l’accès à ces contenus est bloqué dans le délai d’une heure à compter de la réception d’une injonction de retrait, les points de contact des fournisseurs de services d’hébergement exposés à des contenus à caractère terroriste devraient être accessibles à tout moment. Les informations sur le point de contact devraient comprendre des informations concernant la langue dans laquelle le point de contact peut être contacté. Afin de faciliter la communication entre les fournisseurs de services d’hébergement et les autorités compétentes, les fournisseurs de services d’hébergement sont encouragés à permettre la communication dans une des langues officielles des institutions de l’Union dans laquelle leurs conditions générales sont disponibles.

(43)

Les fournisseurs de services d’hébergement n’étant pas soumis à une obligation générale de garantir une présence physique sur le territoire de l’Union, il est nécessaire de déterminer clairement de la compétence de quel État membre relève le fournisseur de services d’hébergement proposant des services au sein de l’Union. En règle générale, le fournisseur de services d’hébergement relève de la compétence de l’État membre dans lequel son établissement principal est établi ou dans lequel son représentant légal réside ou est établi. Cela devrait être sans préjudice des règles de compétence établies aux fins des injonctions de retrait et des décisions découlant de l’examen approfondi des injonctions de retrait au titre du présent règlement. Lorsqu’un fournisseur de services d’hébergement ne dispose pas d’établissement dans l’Union et ne désigne pas de représentant légal, n’importe quel État membre devrait néanmoins être compétent et dès lors être en mesure d’imposer des sanctions, à condition que le principe ne bis in idem soit respecté.

(44)

Les fournisseurs de services d’hébergement qui ne sont pas établis dans l’Union devraient désigner par écrit un représentant légal afin d’assurer le respect et l’exécution des obligations prévues au présent règlement. Les fournisseurs de services d’hébergement devraient pouvoir désigner, aux fins du présent règlement, un représentant légal déjà désigné à d’autres fins, à condition que ledit représentant légal soit en mesure de remplir les fonctions prévues par le présent règlement. Il convient que le représentant légal soit habilité à agir au nom du fournisseur de services d’hébergement.

(45)

Des sanctions sont nécessaires pour garantir la mise en œuvre effective du présent règlement par les fournisseurs de services d’hébergement. Il convient que les États membres adoptent des règles concernant des sanctions, qui peuvent être de nature administrative ou pénale, y compris, le cas échéant, des lignes directrices pour les amendes. Des cas ponctuels de non-conformité devraient pouvoir faire l’objet de sanctions, dans le respect des principes ne bis in idem et de proportionnalité et en veillant à ce que ces sanctions tiennent compte des manquements systématiques. Les sanctions pourraient prendre différentes formes, y compris des avertissements formels en cas de violations mineures ou des sanctions financières pour des violations plus graves ou systématiques. Des sanctions particulièrement sévères devraient être imposées lorsque le fournisseur de services d’hébergement omet systématiquement ou constamment de retirer les contenus à caractère terroriste ou de bloquer l’accès à ces contenus dans le délai d’une heure à compter de la réception d’une injonction de retrait. Afin de garantir la sécurité juridique, il y a lieu que le présent règlement précise quelles violations font l’objet de sanctions et quelles circonstances sont pertinentes pour évaluer le type et le niveau de ces sanctions. Au moment de décider de l’imposition d’éventuelles sanctions financières, il convient de tenir dûment compte des ressources financières du fournisseur de services d’hébergement. En outre, l’autorité compétente devrait tenir compte du fait que le fournisseur de services d’hébergement est une start-up ou une micro, petite ou moyenne entreprise au sens de la recommandation 2003/361/CE de la Commission (12). Il convient également de tenir compte d’autres circonstances, telles que la question de savoir si le comportement du fournisseur de services d’hébergement était objectivement imprudent ou répréhensible ou si l’infraction a été commise par négligence ou de manière intentionnelle. Les États membres devraient veiller à ce que les sanctions imposées en cas de violation du présent règlement n’encouragent pas le retrait de matériel qui ne constitue pas un contenu à caractère terroriste.

(46)

L’utilisation de modèles normalisés facilite la coopération et l’échange d’informations entre les autorités compétentes et les fournisseurs de services d’hébergement, en leur permettant de communiquer plus rapidement et plus efficacement. Il est particulièrement important de garantir une intervention prompte après la réception d’une injonction de retrait. Les modèles réduisent les coûts de traduction et contribuent à ce que le processus réponde à des normes plus élevées. De même, les modèles de retour d’informations permettent un échange d’informations normalisé et sont particulièrement importants lorsque les fournisseurs de services d’hébergement ne sont pas en mesure de se conformer à des injonctions de retrait. Des canaux de transmission authentifiés peuvent garantir l’authenticité de l’injonction de retrait, y compris l’exactitude des dates et heures d’envoi et de réception de l’injonction.

(47)

Afin de pouvoir modifier rapidement, si nécessaire, le contenu des modèles à utiliser aux fins du présent règlement, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne la modification des annexes du présent règlement. Afin de pouvoir tenir compte du progrès technologique et du cadre légal qui y est associé, la Commission devrait également être habilitée à adopter des actes délégués en vue de compléter le présent règlement par des exigences techniques concernant les moyens électroniques que les autorités compétentes doivent utiliser pour transmettre les injonctions de retrait. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes énoncés dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (13). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

(48)

Il y a lieu que les États membres recueillent des informations sur la mise en œuvre du présent règlement. Les États membres devraient pouvoir utiliser les rapports de transparence des fournisseurs de services d’hébergement et, si nécessaire, les compléter par des informations plus détaillées, telles que leurs propres rapports de transparence au titre du présent règlement. Il convient d’établir un programme détaillé de suivi des réalisations, résultats et effets du présent règlement afin d’étayer une évaluation de la mise en œuvre du présent règlement.

(49)

Se fondant sur les constatations et conclusions du rapport de mise en œuvre et sur le résultat de l’exercice de suivi, la Commission devrait procéder à une évaluation du présent règlement dans un délai de trois ans à compter de la date de son entrée en vigueur. L’évaluation devrait reposer sur les critères d’efficience, de nécessité, d’efficacité, de proportionnalité, de pertinence, de cohérence et de valeur ajoutée de l’Union. L’évaluation devrait porter sur le fonctionnement des différentes mesures opérationnelles et techniques prévues par le présent règlement, y compris l’efficacité des mesures visant à améliorer la détection, l’identification et le retrait des contenus à caractère terroriste en ligne, l’efficacité des mécanismes de garantie ainsi que les incidences sur les droits fondamentaux potentiellement affectés, tels que la liberté d’expression et d’information, y compris la liberté et le pluralisme des médias, la liberté d’entreprise, le droit à la vie privée et le droit à la protection des données à caractère personnel. La Commission devrait également évaluer l’incidence sur les intérêts potentiellement affectés de tiers.

(50)

Étant donné que l’objectif du présent règlement, à savoir garantir le bon fonctionnement du marché unique numérique en luttant contre la diffusion des contenus à caractère terroriste en ligne, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison de sa portée et de ses effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif,