Ce que couvre le DSA et à qui il s'applique

Le DSA est un règlement, et non une directive — il a un effet direct dans tous les États membres de l'UE sans nécessiter de transposition nationale. Il est pleinement entré en vigueur pour les très grandes plateformes en ligne et les moteurs de recherche en août 2023, et pour tous les autres en février 2024, ce qui signifie que les éditeurs ont désormais deux ans d'expérience opérationnelle avec ce régime. La loi crée un ensemble d'obligations hiérarchisées selon la taille et le type de plateforme : les micro et petites entreprises sont largement exemptées, les services intermédiaires ont des obligations de base, les hébergeurs doivent respecter des obligations de modération de contenu, les plateformes en ligne sont soumises à des règles de transparence supplémentaires, et les très grandes plateformes en ligne (plus de quarante-cinq millions d'utilisateurs actifs mensuels dans l'UE) sont soumises aux obligations les plus strictes, notamment des évaluations des risques systémiques et des audits externes.

Où se situent la plupart des éditeurs

La grande majorité des éditeurs entre dans la catégorie des plateformes en ligne — ils hébergent des contenus générés par les utilisateurs (commentaires, messages de forum, contributions des lecteurs), diffusent de la publicité et recommandent des contenus via des flux algorithmiques ou des modules d'articles connexes. La catégorie des plateformes en ligne est celle où le DSA devient opérationnellement pertinent : restrictions sur la publicité ciblée pour les mineurs, obligations de transparence sur la diffusion et les paramètres de ciblage des publicités, explications et opt-outs des systèmes de recommandation, et régime de notification et d'action pour les contenus illicites. Les éditeurs dépassant le seuil des très grandes plateformes en ligne ajoutent l'évaluation des risques systémiques, les obligations d'auditeur externe officiel et l'obligation de donner aux chercheurs accrédités par la Commission un accès aux données de la plateforme.

Le critère géographique

Le DSA s'applique de manière extraterritoriale. Un éditeur américain ayant des visiteurs européens est dans son champ d'application dès lors que les utilisateurs de l'UE peuvent interagir avec le service — ce qui concerne essentiellement tout site web accessible au public. Le critère n'est pas l'établissement de l'éditeur, mais le fait que le service soit proposé aux destinataires de l'UE. À l'instar du GDPR, cela concerne par défaut la majorité de l'industrie mondiale de l'édition.

Les restrictions sur la publicité ciblée

La couche du DSA qui importe le plus pour le consentement aux cookies et les opérations publicitaires est l'article 26, qui restreint la publicité ciblée de deux manières spécifiques que les éditeurs doivent prendre en compte dans leur architecture.

L'interdiction du ciblage des mineurs

Le DSA interdit la publicité ciblée aux mineurs basée sur le profilage utilisant des données personnelles. L'interdiction s'applique dès que l'éditeur sait, ou devrait raisonnablement savoir, que le destinataire est un mineur — ce qui en pratique signifie qu'elle s'active pour tout signal qu'un éditeur pourrait raisonnablement exploiter (un âge autodéclaré, un signal de contrôle parental, une catégorie de contenu impliquant fortement un jeune public, un indicateur de compte du propre système d'utilisateurs de l'éditeur). Le CMP doit intégrer cette restriction : même si un utilisateur mineur accepte les cookies marketing, la voie de la publicité ciblée doit être désactivée par défaut. L'alternative est la publicité contextuelle — la sélection des annonces basée sur le contenu de la page plutôt que sur les profils des utilisateurs — que la plupart des grands SSP et serveurs publicitaires exposent désormais comme un mode de diffusion de premier rang.

L'interdiction des données sensibles

Le DSA interdit également la publicité ciblée basée sur le profilage utilisant des catégories particulières de données personnelles telles que définies à l'article 9 du GDPR — race, religion, opinions politiques, appartenance syndicale, santé, vie sexuelle, orientation sexuelle, données biométriques, données génétiques. L'interdiction est absolue : le consentement ne lève pas cette restriction. Les éditeurs gérant des catégories de contenu touchant à l'un de ces domaines — éditeurs de santé, médias religieux, sites d'actualité politique, publications LGBTQ+ — doivent veiller à ce que leur pile adtech ne transmette pas aux annonceurs des signaux de profil dérivés de ces données, même lorsque l'utilisateur a consenti à toutes les catégories de marketing.

Implications opérationnelles pour le CMP

Le CMP doit intégrer les restrictions du DSA comme des portes infranchissables, et non comme des bascules d'état de consentement. Un reçu de consentement indiquant « toutes les catégories acceptées » n'autorise pas la publicité ciblée pour un mineur ou basée sur les données de l'article 9. La solution la plus propre consiste à faire passer l'état du consentement, le signal mineur et la classification des contenus sensibles de la page par une fonction de décision unique, qui se situe entre le CMP et les fournisseurs de technologie publicitaire, et qui opte par défaut pour la diffusion contextuelle dès que l'une des portes du DSA se déclenche.

L'opt-out du système de recommandation

L'article 38 du DSA impose aux plateformes en ligne utilisant des systèmes de recommandation — classement algorithmique des contenus dans les flux, modules d'articles connexes, files d'attente de vidéos suggérées — d'expliquer les principaux paramètres de ces systèmes et d'offrir aux utilisateurs au moins une option qui n'est pas basée sur le profilage. Les éditeurs proposant une découverte de contenus personnalisée ne peuvent pas faire du profilage le seul mode disponible.

À quoi ressemble le mode sans profilage

Le mode sans profilage est généralement un flux chronologique, un flux classé par popularité, ou un flux éditoriel qui ne personnalise pas les contenus en fonction du comportement individuel de l'utilisateur. L'utilisateur doit pouvoir y accéder via un contrôle clairement visible — pas enfoui dans les paramètres du compte — et le choix doit être mémorisé pour les sessions futures. Les éditeurs devraient traiter le contrôle du système de recommandation comme un élément de premier plan de l'expérience utilisateur de consentement, souvent affiché via la même interface CMP qui gère les préférences de cookies.

Transparence sur les paramètres de classement

La plateforme doit publier, en langage clair, les principaux paramètres utilisés par son système de recommandation — récence, popularité, similarité avec les comportements passés, poids éditorial, pertinence publicitaire. La publication est généralement une section de la politique de confidentialité ou une page de transparence dédiée, et elle doit être suffisamment précise pour qu'un régulateur puisse vérifier la description par rapport au comportement réel de la plateforme. Un langage vague comme « nous utilisons l'apprentissage automatique pour vous recommander des contenus susceptibles de vous intéresser » ne répond pas à cette exigence.

Comment le DSA se superpose au GDPR et à l'ePrivacy

Le DSA ne remplace ni le GDPR ni l'ePrivacy — il ajoute des règles au niveau de la plateforme par-dessus ceux-ci. Les interactions sont principalement additives, mais en deux endroits précis, elles limitent ce que le seul consentement peut autoriser.

Le consentement ne peut pas annuler les interdictions du DSA

L'interdiction du ciblage des mineurs et l'interdiction des données sensibles de l'article 9 sont absolues. Un utilisateur ne peut pas, par son consentement, s'inscrire dans la publicité ciblée dans l'un ou l'autre cas. C'est une contrainte de conception significative pour les CMP qui traitaient historiquement le consentement comme le déverrouillage universel — sous le DSA, l'état de consentement est nécessaire mais non suffisant, et l'architecture du CMP doit en tenir compte.

Les obligations de transparence s'ajoutent à celles du GDPR

Les obligations de transparence publicitaire du DSA — identification claire des publicités, mention de l'annonceur, explication des principaux paramètres de ciblage utilisés pour la diffusion de la publicité spécifique — sont indépendantes des exigences de transparence du GDPR et doivent être satisfaites dans le contenu publicitaire lui-même. La plupart des éditeurs gèrent cela via des modèles de serveur publicitaire qui injectent automatiquement le bloc de marquage publicitaire DSA dans les créations diffusées.

Changements pratiques pour le CMP et la pile publicitaire

Le CMP et la pile publicitaire conformes au DSA disposent d'un petit nombre d'éléments reproductibles qui se sont stabilisés sur les grandes plateformes commerciales d'ici 2026.

Infrastructure du signal mineur

Le CMP doit accepter un signal mineur provenant du système de compte utilisateur de l'éditeur, de la classification du contenu de la page ou de la couche de contrôle parental, et propager ce signal dans la décision de consentement. La plupart des CMP exposent désormais cela comme un attribut « mineur » sur le reçu de consentement que la pile publicitaire lit conjointement avec l'état de consentement. Le signal se propage en aval via Google Consent Mode v2, la chaîne IAB TCF v2.3 et toute intégration spécifique au fournisseur qui le supporte.

Classification des contenus sensibles

Les éditeurs devraient effectuer une passe de classification du contenu sur chaque page pour la mapper sur les catégories de données sensibles du DSA. La classification peut être manuelle pour les sites éditoriaux avec des taxonomies structurées, ou automatisée pour les sites à fort volume avec un étiquetage de contenu basé sur le NLP. La classification alimente la décision de repli contextuel de la pile publicitaire : une page étiquetée avec une catégorie sensible est orientée vers des publicités contextuelles uniquement, quel que soit l'état de consentement.

Bascule du système de recommandation

L'opt-out du système de recommandation devrait se trouver au même endroit que la vue des préférences de la bannière de consentement — la plupart des CMP exposent désormais un module générique de « contrôles de plateforme » à cet effet. La bascule modifie la préférence de l'utilisateur au niveau de la session et, si l'utilisateur est authentifié, sa préférence au niveau du compte. Le service de recommandation en aval lit la préférence à chaque appel de classement.

Erreurs DSA courantes qui déclenchent des constats

Les décisions d'application du DSA à travers 2024 et 2025 ont produit une liste claire de comportements menant à des enquêtes de la Commission. Le CMP définit par défaut le drapeau de ciblage des mineurs à faux pour chaque utilisateur sans jamais vérifier les propres signaux d'âge de l'éditeur. L'opt-out du système de recommandation est enfoui à trois clics dans les paramètres du compte plutôt qu'affiché près de la bannière de consentement. Le bloc de marquage publicitaire DSA est ajouté aux publicités display mais oublié pour les créations vidéo. La classification des contenus sensibles couvre des catégories évidentes comme la santé et la religion, mais omet les sites d'actualité politique qui n'en qualifient pas moins en vertu de la protection des opinions politiques de l'article 9. La catégorie des très grandes plateformes en ligne publie son évaluation des risques systémiques, mais la traite comme un exercice unique plutôt que comme le document évolutif annuel requis par le DSA.

La conclusion

Le DSA est la première grande réglementation européenne depuis le GDPR à remodeler concrètement ce que les éditeurs peuvent faire de l'attention de l'audience pour laquelle ils ont déjà recueilli le consentement. Les interdictions de ciblage des mineurs et de l'article 9 sont des contraintes de conception absolues, pas des options de consentement. L'opt-out du système de recommandation est un contrôle utilisateur de premier plan qui se situe à côté de la bannière de cookies. Les obligations de transparence sur la diffusion publicitaire nécessitent des modèles de serveur publicitaire qui injectent automatiquement les bons marqueurs dans chaque création diffusée. Rien de tout cela n'est facultatif, et rien ne peut être ajouté à la hâte à la réception d'une lettre de mise en demeure. Les éditeurs qui ont intégré les portes DSA dans leur CMP et leur pile publicitaire lors de la phase d'entrée en vigueur 2023-2024 opèrent désormais proprement ; les éditeurs qui ont traité le DSA comme un exercice documentaire passent l'année 2026 dans la file d'attente des sanctions de la Commission. Le travail est modéré, l'architecture est établie, et les conséquences de son omission ne sont plus hypothétiques.