Vous souhaitez déposer une plainte contre une institution ou un organe de l’Union européenne ?
- FR Français
Les traductions automatiques peuvent comporter des erreurs susceptibles de nuire à la clarté et à l’exactitude; le Médiateur décline toute responsabilité en cas de divergences. Pour obtenir les informations les plus fiables et pour assurer la sécurité juridique, veuillez consulter la version source en anglais dont le lien figure ci-dessus.
Pour en savoir plus, veuillez consulter notre politique linguistique et de traduction.
Décision sur le refus de la Commission européenne de donner accès au public au rapport d’évaluation des risques d’une grande entreprise de médias sociaux concernant sa conformité avec les dispositions de la législation sur les services numériques (affaire 1746/2024/MIG)
Décision
Affaire 1746/2024/MIG - Ouvert le Vendredi | 27 septembre 2024 - Recommandation le Lundi | 11 mai 2026 - Décision le Jeudi | 07 mai 2026 - Institution concernée Commission européenne ( Mauvaise administration constatée ) - Pays Autriche
Plainte introduite
19/09/2024Analyse de la plainte
20/09/2024Enquête en cours
27/09/2024Conclusions préliminaires
03/11/2025Résultat de l’enquête
19/02/2026
L’affaire concernait une demande d’accès du public au rapport d’évaluation des risques pour 2023 d’une grande plateforme de médias sociaux sur sa conformité avec les dispositions de la législation sur les services numériques. La Commission a refusé l’accès au rapport, faisant référence aux exceptions prévues par la législation de l’UE relative à l’accès du public aux documents (règlement (CE) no 1049/2001). Elle a considéré qu’il existait une présomption générale selon laquelle la divulgation du rapport porterait atteinte aux intérêts commerciaux de la plateforme ainsi qu’à son enquête en cours sur le respect par la plateforme des obligations qui lui incombent en vertu du règlement sur les services numériques. Par conséquent, la Commission n’a pas procédé à une évaluation individuelle du rapport pour déterminer sa divulgation éventuelle.
La Médiatrice a estimé qu’il était déraisonnable d’appliquer une présomption générale de non-divulgation à un rapport d’évaluation des risques élaboré dans le cadre du règlement sur les services numériques. La Médiatrice a estimé que les circonstances dans lesquelles les juridictions de l’Union ont reconnu la possibilité d’utiliser une présomption générale sont très différentes des règles qui s’appliquent aux rapports d’évaluation des risques. Compte tenu de ce qui précède, la Médiatrice a estimé à titre préliminaire que l’invocation par la Commission d’une présomption générale constituait un cas de mauvaise administration.
Lorsque la Commission a maintenu sa position, la Médiatrice a confirmé son point de vue selon lequel le recours à une présomption générale de non-divulgation constituait un cas de mauvaise administration. Elle recommande à la Commission de procéder à une évaluation individuelle du rapport d’évaluation des risques en cause en vue d’accorder l’accès le plus large possible, conformément au règlement (CE) no 1049/2001.
La Commission n’a pas accepté la recommandation de la Médiatrice et a réitéré sa position selon laquelle il peut généralement être présumé que la divulgation du rapport d’évaluation des risques porterait atteinte à la protection de l’objectif de son enquête sur le règlement sur les services numériques et aux intérêts commerciaux de la plateforme concernée. Il a également estimé qu'il n'était pas possible d'évaluer si le rapport contenait des informations commercialement sensibles et que l'intérêt poursuivi par le plaignant était de nature privée.
La Médiatrice a regretté la réponse de la Commission. Elle n’est pas convaincue qu’une présomption générale de non-divulgation puisse être appliquée aux rapports d’évaluation des risques établis en vertu du règlement sur les services numériques, y compris après qu’une version expurgée du rapport a été rendue publique par la plateforme concernée. La Médiatrice a également considéré que le fait de pouvoir contrôler la conformité d’une très grande plateforme en ligne avec ses obligations au titre du règlement sur les services numériques constituait un intérêt public à la divulgation que la Commission aurait dû mettre en balance avec les intérêts qu’elle cherchait à protéger. Enfin, la Médiatrice a fait observer que l’évaluation des informations commercialement sensibles faisait partie des obligations incombant aux institutions de l’Union en vertu du règlement (CE) no 1049/2001.
Par conséquent, la Médiatrice a clôturé l’affaire, confirmant ainsi sa constatation de mauvaise administration.
Antécédents de la plainte
1. La législation sur les services numériques [1] impose chaque année aux fournisseurs de «très grandes plateformes en ligne» d’évaluer certains risques de leurs services liés, par exemple, à la diffusion de contenus illicites ou à des effets négatifs sur l’exercice des droits fondamentaux ou sur la protection des mineurs [2]. En outre, un audit indépendant du respect de la législation sur les services numériques par ces plateformes doit être effectué [3]. Lorsque des risques sont identifiés, le fournisseur de la plateforme désignée concernée doit mettre en place des mesures d’atténuation pour faire face à ces risques.
2. Les rapports sur ces évaluations et audits des risques doivent être partagés avec la Commission européenne, qui surveille et veille au respect, par les très grandes plateformes en ligne, des obligations qui leur incombent en vertu du règlement sur les services numériques. Les rapports doivent également être rendus publics au plus tard trois mois après la réception du rapport d’audit [4]. S’il est constaté qu’une plateforme a manqué aux obligations qui lui incombent en vertu du règlement sur les services numériques, la Commission peut lui infliger des amendes pour en assurer le respect [5].
3. Le 14 septembre 2023, la Commission a reçu le rapport sur la première évaluation annuelle des risques de X à la suite de l’entrée en vigueur du règlement sur les services numériques et de la désignation de la plateforme en tant que très grande plateforme en ligne.
4. Deux semaines plus tard, le plaignant, un journaliste, a demandé à la Commission [6] l'accès du public à ce rapport.
5. En novembre 2023, la Commission a refusé l’accès du public, invoquant la nécessité de protéger les intérêts commerciaux de la plateforme concernée [7].
6. Le plaignant a ensuite demandé à la Commission de réexaminer sa décision de refuser l’accès du public (en présentant une «demande confirmative»).
7. En décembre 2023, sur la base de son évaluation du rapport d’évaluation des risques de la plateforme (et d’autres éléments), la Commission a ouvert une enquête formelle [8] sur le respect par la plateforme de ses obligations au titre du règlement sur les services numériques. Plus précisément, la Commission a considéré que la plateforme n’avait pas évalué avec diligence certains risques systémiques dans l’UE, découlant de la conception et du fonctionnement de ses systèmes et de l’utilisation de ses services.
8. En juin 2024, la Commission a adopté une décision confirmative sur la demande d’accès du plaignant, soutenant que le rapport d’évaluation des risques ne pouvait pas être divulgué. Ce faisant, la Commission a également invoqué la nécessité de protéger son enquête en cours au titre du règlement sur les services numériques, en faisant valoir qu’une présomption générale de non-divulgation s’appliquait et que les deux exceptions pour la protection des intérêts commerciaux [9] et pour la protection des objectifs des enquêtes [10] étaient étroitement liées.
9. En juillet 2024, la Commission a publié des conclusions préliminaires de non-conformité dans le cadre de son enquête sur le règlement sur les services numériques, recensant trois griefs [11].
10. En septembre 2024, insatisfaite de la non-divulgation du rapport d’évaluation des risques, la plaignante s’est adressée à la Médiatrice.
11. La Médiatrice a ouvert une enquête sur le refus de la Commission de donner accès au public en septembre 2024.
12. À la suite de l’inspection du rapport d’évaluation des risques et de l’examen des arguments présentés, y compris dans la réponse de la Commission à la plainte, la Médiatrice a partagé son point de vue préliminaire [12] avec la Commission en novembre 2024.
Points de vue préliminaires du Médiateur
13. La Médiatrice a estimé à titre préliminaire qu’il n’était pas raisonnable pour la Commission d’appliquer une présomption générale de non-divulgation à un rapport d’évaluation des risques établi en vertu du règlement sur les services numériques.
14. Plus précisément, la Médiatrice a estimé que les règles qui s’appliquent aux rapports d’évaluation des risques s’écartent considérablement des circonstances dans lesquelles les juridictions de l’Union ont établi la possibilité de recourir à une présomption générale. Plus particulièrement, le règlement sur les services numériques ne prévoit pas de règles d’accès privilégié aux rapports d’évaluation des risques, mais impose aux plateformes de publier ces rapports, indépendamment de l’existence ou non d’une enquête en cours de la Commission sur le règlement sur les services numériques.
15. En outre, la Médiatrice a estimé que, si le règlement sur les services numériques autorise [13] la non-divulgation de certaines informations lorsqu’une plateforme publie finalement son rapport d’évaluation des risques, il n’est pas raisonnable de conclure de cette disposition – et à la lumière de l’obligation de publier le rapport – que les rapports d’évaluation des risques contiennent des informations commerciales sensibles tout au long du .
16. La Commission n’était pas d’accord avec l’avis préliminaire du Médiateur [14].
Recommandation du Médiateur
17. La Médiatrice a donc poursuivi son enquête. À la suite d’une évaluation plus approfondie, elle a noté que le règlement sur les services numériques souligne l’importance de la transparence et de la responsabilité des services en ligne et qu’il reconnaît la nécessité d’un niveau accru de transparence et de contrôle public en ce qui concerne les très grandes plateformes en ligne, en raison de leur rôle et de leur portée particuliers [15].
18. En outre, la Médiatrice a noté que, si le règlement sur les services numériques prévoit un calendrier pour la publication des rapports d’évaluation des risques, la publication doit avoir lieu indépendamment de l’état d’avancement de l’évaluation de la Commission. Cela signifie qu’il importe peu de savoir si la Commission a ouvert une enquête sur la conformité de la plateforme concernée avec ses obligations au titre du règlement sur les services numériques, si une telle enquête est en cours ou si la Commission n’a pas encore pris de décision sur l’ouverture éventuelle d’une enquête.
19. La Médiatrice a également estimé qu’il était probable que la publication du rapport (ou d’une version expurgée de celui-ci) ait normalement lieu avant la fin de l’enquête de la Commission et que, par conséquent, la protection de ses efforts de mise en œuvre soit sans préjudice de la transparence et du contrôle public des rapports d’évaluation des risques.
20. La Médiatrice a donc maintenu son point de vue selon lequel il n’est pas raisonnable d’appliquer une présomption générale de non-divulgation aux rapports d’évaluation des risques établis en vertu du règlement sur les services numériques. Elle estime que, si la plateforme concernée n’a pas encore publié le rapport d’évaluation des risques de manière proactive lorsqu’une demande d’accès du public est présentée, la Commission devrait en tenir compte dans son évaluation du document au titre du règlement (CE) no 1049/2001. S’il n’est pas clair si l’accès du public peut être accordé, la Commission devrait consulter la plateforme concernée, comme le prévoit le règlement (CE) no 1049/2001 [16].
21. La Médiatrice a donc confirmé son point de vue préliminaire selon lequel l’utilisation par la Commission d’une présomption générale de non-divulgation constituait un cas de mauvaise administration.
22. Notant qu’une version expurgée du rapport d’évaluation des risques en cause avait entre-temps été divulguée par la plateforme concernée [17], conformément aux obligations qui lui incombent en vertu du règlement sur les services numériques, et que le plaignant n’était pas satisfait des expurgations effectuées par la plateforme, la Médiatrice a adressé la recommandation suivante à la Commission: La Commission devrait procéder à une évaluation concrète et individuelle du rapport d’évaluation des risques en cause en vue d’accorder au public l’accès le plus large possible, y compris aux parties du rapport qui ont été occultées dans la version publiée par la plateforme concernée. Si la Commission conclut qu’aucun accès ne peut être accordé à certaines parties du rapport, elle devrait expliquer pourquoi, concrètement et effectivement, leur divulgation est empêchée à la lumière des exceptions prévues à l’article 4 du règlement no 1049/2001 [18].
23. En réponse [19], la Commission a soutenu qu’elle était fondée à appliquer une présomption générale de non-divulgation au rapport.
24. En particulier, la Commission a réitéré que, dès réception, les rapports d’évaluation des risques faisaient partie de son dossier concernant le respect du règlement sur les services numériques par la plateforme concernée. Ces rapports sont donc non seulement protégés par l’obligation de secret professionnel, mais sont également soumis au régime d’accès spécifique qui s’applique au dossier administratif de la Commission [20].
25. En outre, la Commission a fait valoir que la divulgation (partielle) d’un rapport d’évaluation des risques, qui n’a pas encore été rendu public par la plateforme concernée en vertu du règlement sur les services numériques, priverait la plateforme de son droit d’expurger des informations confidentielles. En outre, même si la Commission consultait la plateforme concernée, en l’absence de réponse, elle serait tenue d’évaluer les informations hautement sensibles afin de décider si leur divulgation pourrait entraîner des «vulnérabilités significatives» des intérêts protégés. Cela risquerait à son tour de faire l’objet de contestations juridiques de la part de la plateforme concernée et compromettrait l’objectif même du rapport d’évaluation des risques et du dialogue avec la plateforme. La Commission a également fait valoir que la divulgation porterait atteinte à son rôle de contrôle et de surveillance ainsi qu’au droit de la plateforme d’être entendue.
26. En ce qui concerne un éventuel intérêt public supérieur justifiant la divulgation, la Commission a considéré qu’un intérêt à contrôler le respect par les très grandes plateformes en ligne des obligations qui leur incombent en vertu du règlement sur les services numériques et à comprendre les risques liés à l’utilisation des services d’une plateforme constituait un intérêt privé, similaire à l’intérêt d’une personne à exercer ses droits de la défense dans le cadre d’une procédure judiciaire engagée à son encontre.
27. La Commission a également déclaré qu’un droit d’accès ne saurait découler de sa pratique consistant à rendre publiques des informations relatives à ses conclusions et aux progrès réalisés dans le cadre d’une enquête sur le règlement sur les services numériques.
28. Enfin, la Commission a indiqué qu’elle n’avait pas contesté les informations confidentielles retenues par la plateforme lors de la publication d’une version expurgée du rapport d’évaluation des risques litigieux.
29. Dans ses observations sur la réponse de la Commission, le plaignant a répété qu’il considérait que l’application par la Commission d’une présomption générale de non-divulgation à la quasi-totalité des documents liés aux enquêtes en cours au titre du règlement sur les services numériques était excessive.
30. Le plaignant a également fait valoir que la Commission «semblait rejeter» toute possibilité d’un intérêt public supérieur justifiant la divulgation.
31. En outre, le plaignant a estimé que, si la Commission refusait généralement l’accès du public aux rapports d’évaluation des risques au titre du règlement (CE) no 1049/2001, elle empêcherait le public d’examiner et de contester toute expurgation effectuée par les plateformes elles-mêmes.
Évaluation du Médiateur après la recommandation
32. Le Médiateur n’est toujours pas convaincu qu’une présomption générale de non-divulgation puisse être appliquée aux rapports d’évaluation des risques établis en vertu du règlement sur les services numériques.
33. Bien que le règlement sur les services numériques exige le secret professionnel, les plateformes désignées ne peuvent légitimement s’attendre à ce que toutes les informations qu’elles fournissent dans un rapport d’évaluation des risques (qui est censé être rendu public) restent confidentielles.
34. Au contraire, seules les informations qui peuvent raisonnablement être considérées comme sensibles peuvent légitimement être retenues. Il ne semble pas non plus raisonnable que la divulgation au titre du règlement (CE) no 1049/2001 prive la plateforme concernée de son droit d’expurger des informations confidentielles ou de son droit d’être entendue. Le règlement (CE) no 1049/2001 prévoit la possibilité même de consulter un tiers auteur lorsqu’il n’est pas évident qu’un document ou certaines parties de celui-ci puissent ou non être divulgués.
35. En outre, la Médiatrice est préoccupée par le refus de la Commission de procéder à une évaluation individuelle du rapport d’évaluation des risques au motif que l’absence potentielle de réponse du tiers l’obligerait à décider elle-même des parties à divulguer.
36. Si cette argumentation devait être suivie, aucun document rédigé par un tiers ne pourrait jamais être divulgué en raison de l’absence potentielle de réponse à une consultation de tiers.
37. En outre, les institutions de l’Union ne peuvent jamais se fonder uniquement sur l’appréciation d’un tiers, même si elles répondent à une consultation. Ils doivent toujours procéder à leur propre appréciation, en tenant compte du point de vue du tiers. La position de la Commission semble aller à l’encontre de l’obligation, prévue par le règlement (CE) no 1049/2001, de procéder à une évaluation concrète et individuelle, y compris lorsque l’accès est demandé à un document contenant d’éventuelles informations commercialement sensibles.
38. La Médiatrice conteste également la position de la Commission selon laquelle le contrôle de la conformité d’une très grande plateforme en ligne avec ses obligations au titre du règlement sur les services numériques – en vue de comprendre les risques graves potentiels que comporte l’utilisation de ses services et si et comment la plateforme traite ces risques – constitue un intérêt privé. Comme l’illustrent les propres actions de la Commission [21], les services proposés par les très grandes plateformes en ligne peuvent permettre de graves violations des droits fondamentaux telles que le vol d’identité, les violences sexuelles et les violations des droits de l’enfant. De telles violations graves de la loi, qui, dans certaines juridictions, sont en outre très difficiles à poursuivre et contre lesquelles les victimes ont beaucoup de mal à se défendre, peuvent difficilement être considérées comme une question domestique ou privée des victimes individuelles. Au contraire, ils peuvent générer un problème sociétal très grave et, par conséquent, une menace pour la démocratie et la société dans son ensemble. Compte tenu également de la rapidité avec laquelle de nouveaux outils d’intelligence artificielle sont développés et des nouvelles possibilités techniques qu’ils offrent, il existe un intérêt public croissant et important à recevoir, en temps utile, l’accès aux informations relatives aux risques que les services proposés par les très grandes plateformes en ligne pourraient entraîner. Cette forme de transparence permet aux utilisateurs de décider en connaissance de cause si l’utilisation des services d’une plateforme est sûre et éclaire le débat public en cours dans de nombreux États membres de l’UE sur la question de savoir si et quel type de modifications réglementaires pourraient être nécessaires pour faire face à ces risques.
39. Comme la Commission l’a elle-même relevé dans sa réponse à la recommandation de la Médiatrice, l’un des objectifs du règlement sur les services numériques est de protéger efficacement les droits fondamentaux [22]. Des informations opportunes sur la manière dont les très grandes plateformes en ligne s’efforcent de prévenir les violations des droits fondamentaux sur leurs services contribuent à cet objectif. En outre, la transparence devient encore plus importante lorsqu’une plateforme ne respecte pas son obligation de fournir aux chercheurs un accès à l’information, ce qui « compromet effectivement la recherche sur plusieurs risques systémiques dans l’Union européenne »[23].
40. Par conséquent, la Médiatrice estime que la Commission aurait dû évaluer les arguments avancés par le plaignant pour déterminer s’ils établissent un intérêt public supérieur justifiant la divulgation.
41. Enfin, la Médiatrice estime qu’il est peu probable que la divulgation (partielle) des rapports d’évaluation des risques au titre du règlement (CE) no 1049/2001 porte atteinte à la confiance mutuelle sur laquelle repose le dialogue entre la Commission et les plateformes désignées. Les très grandes plateformes en ligne sont légalement tenues de coopérer avec la Commission et de lui fournir des informations utiles à l’évaluation de leur conformité avec le règlement sur les services numériques. La Commission peut infliger des amendes si une plateforme désignée ne respecte pas ses obligations. En tout état de cause, comme indiqué ci-dessus, si la Commission avait des doutes quant à la divulgation de certaines parties du rapport d’évaluation des risques, elle aurait pu consulter la plateforme sur la demande d’accès.
42. En ce qui concerne la référence antérieure de la Médiatrice aux informations relatives à l’enquête de la Commission sur le règlement sur les services numériques concernant la plateforme en cause qu’elle avait publiées avant l’achèvement de l’audit concerné, elle visait uniquement à souligner le point de vue de la Médiatrice selon lequel la divulgation était peu susceptible de porter atteinte à l’audit. Si la Médiatrice note que la Commission ne fait plus référence à la nécessité de protéger l’objectif de l’audit indépendant, elle considère que le fait que certaines informations avaient déjà été divulguées par la Commission au moment de la décision confirmative est un élément qui aurait dû être pris en compte dans le cadre de l’évaluation de la demande d’accès du public du plaignant, comme la Commission l’a elle-même relevé dans sa réponse à la recommandation de la Médiatrice.
43. À la lumière de ce qui précède, la Médiatrice confirme sa conclusion de mauvaise administration.
Conclusions
Sur la base de l’enquête, la Médiatrice clôt cette affaire avec les conclusions suivantes:
Le recours à une présomption générale de non-divulgation et, partant, le refus de procéder à une évaluation concrète et individuelle du rapport d’évaluation des risques en cause constituaient un cas de mauvaise administration de la part de la Commission européenne.
Le plaignant et la Commission seront informés de cette décision.
Teresa Anjinho Médiateur
européen
Strasbourg, le 07/05/2026
[1] Règlement (UE) 2022/2065 relatif à un marché unique des services numériques (législation sur les services numériques): http://data.europa.eu/eli/reg/2022/2065/oj.
[2] Article 34 du règlement sur les services numériques.
[3] Article 37 du règlement sur les services numériques.
[4] Article 42, paragraphe 4, du règlement sur les services numériques.
[5] Article 73 septies du règlement sur les services numériques.
[6] En vertu du règlement (CE) n° 1049/2001 relatif à l'accès du public aux documents du Parlement européen, de la Commission et du Conseil: http://data.europa.eu/eli/reg/2001/1049/oj.
[7] Conformément à l’article 4, paragraphe 2, premier tiret, du règlement (CE) no 1049/2001.
[8] Conformément à l’article 66, paragraphe 1, du règlement sur les services numériques – numéro de dossier de l’enquête: DSA.100.100.
[9] Article 4, paragraphe 2, premier tiret, du règlement (CE) no 1049/2001.
[10] Article 4, paragraphe 2, troisième tiret, du règlement (CE) no 1049/2001.
[11] Voir: https://digital-strategy.ec.europa.eu/fr/news/commission-sends-preliminary-findings-x-breach-digital-services-act.
[12] Le texte intégral de l’avis préliminaire du Médiateur est disponible à l’adresse suivante: https://www.ombudsman.europa.eu/fr/doc/correspondence/fr/199731.
[13] Article 42, paragraphe 5, du règlement sur les services numériques.
[14] Le texte intégral de la réponse de la Commission à l’avis préliminaire du Médiateur est disponible à l’adresse suivante:
https://www.ombudsman.europa.eu/doc/correspondence/214482.
[15] Voir, par exemple, les considérants 65 et 100 du règlement sur les services numériques.
[16] Conformément à l'article 4, paragraphe 4, du règlement (CE) n° 1049/2001.
[17] La version publiée du rapport est disponible à l'adresse suivante: https://digital-strategy.ec.europa.eu/fr/policies/dsa-brings-transparency#ecl-inpage-lsets8qr.
[18] Le texte intégral de la recommandation du Médiateur est disponible à l’adresse suivante: https://www.ombudsman.europa.eu/fr/recommandation/fr/214486.
[19] Le texte intégral de la réponse de la Commission à la recommandation du Médiateur est disponible à l’adresse suivante: https://www.ombudsman.europa.eu/doc/correspondence/223606
[20] Conformément à l’article 84 et à l’article 79, paragraphe 4, du règlement sur les services numériques.
[21] Par exemple, la Commission a mis en place un groupe d’experts sur un internet plus sûr pour les enfants qui évalue la meilleure manière de protéger les mineurs contre les contenus préjudiciables en ligne, y compris des approches telles que l’âge minimum des médias sociaux (https://digital-strategy.ec.europa.eu/fr/policies/expert-group-safer-internet). En outre, la Commission a ouvert des enquêtes sur la conformité de plusieurs très grandes plateformes en ligne avec le règlement sur les services numériques, notamment en ce qui concerne la protection des enfants, la conception addictive, les contenus illicites et les risques électoraux (https://digital-strategy.ec.europa.eu/fr/policies/list-designated-vlops-and-vloses).
[22] Voir, par exemple, le considérant 9 du règlement sur les services numériques.
[23] Voir: https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_2934.