Compliance et Gafam

L’année 2025 a, sans aucun doute, accéléré les conflits latents au sujet de la régulation du numérique, et plus particulièrement autour du rôle assigné aux « géants » du secteur, c’est-à-dire les entreprises exploitant les principales plateformes utilisées dans le monde. Les attaques de l’administration Trump contre les législations européennes sur le numérique se sont multipliées, surtout à l’encontre du règlement relatif aux marchés numériques (DMA, règlement 2022/1925 du 14 septembre 2022) et du règlement relatif aux services numériques (DSA, règlement 2022/2065 du 19 octobre 2022), accusés de pénaliser excessivement les entreprises américaines. La commercialisation de produits illicites sur la plateforme Shein a conduit le gouvernement français à demander sa suspension sur le fondement de l’article 6-3 de la loi sur la confiance dans l’économie numérique devant le tribunal judiciaire de Paris. La Commission d’enquête sur les effets psychologiques de TikTok sur les mineurs a relancé l’activisme législatif autour d’une éventuelle interdiction des réseaux sociaux aux moins de 15 ans. Les effets délétères de l’intelligence artificielle (IA) sont apparus avec les utilisations illicites du système d’IA Grok, qui ont valu l’ouverture d’une nouvelle enquête à l’encontre de la plateforme X par la Commission européenne.

L’ensemble de ces événements met en évidence la somme d’enjeux considérables qui se retrouvent entremêlés dans l’espace numérique¹, qu’il s’agisse de la concurrence, de la protection des données personnelles, des mineurs, de la liberté d’expression ou encore de l’innovation technologique et des relations économiques internationales. Cette diversité d’objectifs à concilier n’a pas empêché l’Union européenne de privilégier un type d’encadrement juridique particulier, à travers la compliance qui s’est imposée depuis le milieu des années 2010 comme le principal moyen de réguler le numérique en Europe.

La compliance est une méthode spécifique de régulation économique. Importée en Europe au lendemain de la crise économique de 2008, elle a permis de faire peser une partie de la stabilité du secteur bancaire et financier sur les opérateurs en leur imposant un ensemble d’obligations prudentielles contrôlées par les autorités de régulation. La compliance s’est construite à partir du constat de l’influence de plus en plus prépondérante des entreprises sur les finalités d’intérêt général. En réponse à ce phénomène, elle consiste à obliger les entreprises à prévenir les atteintes qu’elles sont susceptibles de porter aux finalités d’intérêt général à l’occasion de leurs activités économiques. Elle se définit alors comme « une méthode de régulation qui consiste, pour une autorité publique, à imposer, au sein des entreprises, des règles et des procédures qui traduisent une conciliation entre leurs intérêts économiques et d’autres finalités d’intérêt général »².

La compliance s’est construite à partir du constat de l’influence de plus en plus prépondérante des entreprises sur les finalités d’intérêt général

Appliquées au numérique, ces obligations de compliance consistent, pour les plateformes, à mettre en œuvre des procédures de contrôle interne qui doivent prévenir ou gérer les risques d’atteinte aux finalités d’intérêt général. Il peut s’agir de détecter et de décider du sort des contenus illicites, de garantir durablement les principes de traitement des données personnelles, ou encore d’imposer des conditions équitables aux vendeurs qui dépendent de leurs services de marketplace.

Les caractéristiques de l’espace numérique le prédestinaient sans nul doute à devenir le terrain le plus fertile pour le développement de la compliance. Il s’est façonné assez largement hors de l’atteinte des États, par le biais de mécanismes de corégulation et sur une certaine idée de la liberté³. L’emprise des États et de leur droit est donc demeurée assez réduite, en témoigne le recours privilégié à la régulation exercée par des autorités administratives indépendantes.

Les caractéristiques de l’espace numérique le prédestinaient sans nul doute à devenir le terrain le plus fertile pour le développement de la compliance

Il en a résulté la constitution de grandes entreprises dont la puissance n’a pas pu être canalisée, comme l’illustrent les tentatives des autorités de concurrence américaines visant à démanteler des entreprises telles que Microsoft ou, plus récemment, Meta. Cette puissance s’est renforcée à mesure que les outils numériques ont pris une importance croissante dans un nombre toujours plus grand d’aspects de la vie.

C’est ainsi qu’une poignée de grandes entreprises se retrouve aujourd’hui en position de souffler le chaud et le froid sur plusieurs finalités d’intérêt général, en raison d’une forme de dépendance à leurs services de plateforme. On fait référence bien sûr aux Gafam, ou Big Tech Companies, qui sont toutes des entreprises américaines, mais également aux entreprises chinoises regroupées sous le sigle BATX et à quelques entreprises européennes exploitant de grandes plateformes.

Ce sont précisément ces entreprises qui font l’objet des politiques de compliance. Si le RGPD est applicable à toute personne responsable d’un traitement de données personnelles indépendamment de la taille et de la nature des données, nombre d’obligations de compliance en matière de numérique sont applicables aux seules entreprises les plus influentes.

La compliance s’applique avant tout aux « entreprises cruciales » (Marie-Anne Frison-Roche)

Ainsi, le DMA ne concerne que les « contrôleurs d’accès », c’est-à-dire les entreprises exploitant des plateformes utilisées par au moins 45 millions d’Européens par mois et par 10 000 entreprises européennes par an (art. 3, § 2 du DMA). Cette jauge de 45 millions d’utilisateurs européens mensuels sert aussi à définir les « très grandes plateformes » ou les « très grands moteurs de recherche » astreints aux obligations de modération les plus poussées au sein du DSA (art. 33 du DSA). De ce point de vue, le numérique rend pertinente l’idée de Marie-Anne Frison-Roche selon laquelle la compliance s’applique avant tout aux « entreprises cruciales »⁴, c’est-à-dire celles qui, parce qu’elles « sont en position de puissance », ont « l’obligation d’atteindre des buts de sécurité au bénéfice du groupe social dont l’État a la charge »⁵.

Le but de la compliance est donc d’obliger les grandes entreprises du numérique à se contrôler, afin que leur position privilégiée ne les mène pas à porter atteinte aux finalités d’intérêt général. En plaçant le ressort du contrôle, non plus seulement sur l’autorité publique, mais aussi sur l’entreprise elle-même, la compliance fait un choix pertinent. Ces grandes entreprises sont en effet les mieux placées pour répondre aux problématiques soulevées par les usages numériques. La lutte contre la diffusion d’images à caractère pédopornographique, par exemple, repose bien davantage sur l’action des plateformes, qui disposent d’outils de détection⁶ pour leur suppression immédiate⁷, que sur celle de l’Office anti-cybercriminalité (Ofac), dont l’intervention dépend d’une procédure contraignante pour pallier les inévitables défaillances des plateformes (art. 6-1 de la loi n° 2004-575 du 21 juin 2004).

Pour autant, il s’agit d’un pari audacieux : celui que les grandes entreprises soient pleinement alignées sur la politique de compliance définie par les autorités de régulation. C’est sans doute ici que se situe le principal problème, car les dernières années ont démontré que les plateformes peuvent se montrer extrêmement réticentes à appliquer les obligations de compliance. Il suffit de constater que l’écrasante majorité des grandes entreprises du numérique font l’objet de demandes d’informations par la Commission européenne au titre du DMA et du DSA, ou de citer les sanctions régulièrement infligées par elle ou par les autorités de régulation nationales. De façon sans doute encore plus visible, les enjeux de régulation du numérique se sont fortement politisés. Le rachat de la plateforme Twitter par Elon Musk en 2022 poursuivait indéniablement des objectifs politiques, et le dîner qui s’est tenu à la Maison-Blanche en septembre 2025 entre Donald Trump et les grands patrons des Gafam montre bien que le positionnement de ces entreprises évolue au gré des contingences politiques, mais toujours dans le but de maximiser leurs intérêts économiques.

Il s’agit d’un pari audacieux : celui que les grandes entreprises soient pleinement alignées sur la politique de compliance définie par les autorités de régulation

Face à de tels défis, la compliance n’apporte pas toutes les réponses, mais elle joue toutefois un rôle crucial pour s’assurer que les finalités d’intérêt général ne sont pas mises en péril par les Gafam dans l’espace numérique. Sans remettre en question le choix de la compliance, on observe qu’elle présente un certain nombre de faiblesses qui pourraient être compensées par des ajustements dans le comportement des régulateurs.

Mesurer les faiblesses de la compliance face aux Gafam

Pour l’État, la compliance revient à ne pas contester le pouvoir des plateformes, mais plutôt à le canaliser en leur imposant de faire une utilisation prédéterminée de leurs moyens, de façon à ce qu’elles ne portent pas atteinte à l’intérêt général, voire en garantissent une ou plusieurs finalités. Il n’est donc pas question pour l’État d’agir en force, que ce soit par une réglementation contraignante ou par une prise de contrôle des entreprises exploitant les principales plateformes utilisées par les individus. Cette attention toute particulière portée aux libertés économiques des opérateurs s’observe par un ensemble de caractéristiques juridiques ouvrant la voie à une négociation autour de la règle juridique et de son application.

L’importance de la négociation

La régulation est très souvent envisagée sous l’angle des sanctions infligées par le régulateur. Il s’agit pourtant d’une approche très caricaturale, tant les régulateurs ne peuvent s’assimiler à des « gendarmes », terme encore trop usité pour les décrire. Certes, l’avènement de la compliance a conduit le législateur à augmenter de manière significative le pouvoir de sanction des régulateurs. C’est particulièrement visible dans le secteur du numérique où, pour rendre les sanctions dissuasives auprès des Gafam, celles-ci sont exprimées en pourcentage du chiffre d’affaires mondial annuel. Leur montant s’élève de 1 % pour une obstruction aux enquêtes dans le DSA (art. 52, § 3) à 20 % pour la réitération d’un même manquement en huit ans dans le DMA (art. 30, § 2). Les lourdes amendes qui ont pu être infligées ces dernières années par la Commission ou par les régulateurs nationaux à l’encontre des Gafam ne doivent pas pour autant faire oublier que la sanction demeure l’ultima ratio regum de la puissance publique.

Les politiques de compliance portées par les autorités de régulation s’appuient très largement sur la discussion avec les opérateurs. Ces échanges peuvent être informels ou se dérouler dans le cadre de procédures prévues par les textes. À commencer par la procédure d’engagements qui a fait ses preuves au regard de la concurrence, pour être inscrite dans le DMA (art. 25) et dans le DSA (art. 71).

Les politiques de compliance portées par les autorités de régulation s’appuient très largement sur la discussion avec les opérateurs

Elle permet aux opérateurs qui font l’objet de mesures d’enquête de proposer à la Commission des engagements de nature à garantir le respect des obligations posées par le règlement. La Commission peut alors rendre ces engagements obligatoires par une décision. Dans les faits, cette procédure est très largement négociée et elle peut tout à fait être lancée à l’initiative de la Commission si l’opérateur l’accepte. Grâce à cette procédure, la Commission a obtenu le retrait du programme de fidélité TikTokLite Rewards qui promettait de rémunérer les individus pour la simple utilisation de la plateforme⁸. En dehors de cette procédure, le dialogue fournit des résultats. Il a suffi à la Commission d’ouvrir une enquête au titre du DSA pour que LinkedIn abandonne son système de publicité ciblée susceptible d’utiliser les données sensibles (art. 9 du RGPD) des utilisateurs de la plateforme⁹.

Les limites de la négociation avec les Gafam

Cette approche constructive des régulateurs est toutefois exploitée par certaines plateformes pour jouer avec les limites de la légalité. Meta a récemment été condamnée par la Commission à une amende de 200 millions d’euros au titre du DMA pour avoir adopté un système de cookies dit « Consent or Pay » pour ses services Facebook et Instagram (Commission européenne, 23 avril 2025, DMA.100044, voir La rem n°73-74, p.9). Ce système impose un choix à l’utilisateur : soit consentir à la collecte de ses données personnelles par la plateforme à des fins publicitaires, soit payer un abonnement pour qu’aucune publicité ne lui soit adressée. Une telle alternative est notamment critiquée au regard de la notion de consentement libre du RGPD. Dans cette affaire, il avait fallu attendre novembre 2024, soit huit mois après le lancement d’une enquête par la Commission, pour que Meta fasse évoluer son système, en proposant notamment de collecter moins de données personnelles pour les utilisateurs qui font le choix de ne pas payer un abonnement. Ce système, dont la légalité n’a pas été examinée par la Commission dans sa décision de sanction, vient tout juste d’être remplacé en janvier 2026. Le 8 décembre 2025, la Commission a en effet annoncé qu’après de nouvelles discussions, Meta abandonnerait son système « Consent or Pay » le mois suivant, et donnerait désormais le choix aux utilisateurs, soit de consentir à la collecte de données à des fins de publicité ciblée, soit de consentir à une collecte réduite de données, afin de limiter la personnalisation des publicités¹⁰.

Cette affaire montre bien à quel point les plateformes les plus influentes opposent une forte résistance aux régulateurs, et n’infléchissent leurs politiques qu’à la suite de longs échanges, voire d’une sanction.

Les plateformes les plus influentes opposent une forte résistance aux régulateurs, et n’infléchissent leurs politiques qu’à la suite de longs échanges, voire d’une sanction

En l’occurrence, le récapitulatif des faits et de la procédure dans la décision de sanction indique que Meta et la Commission ont multiplié les discussions sur le modèle « Consent or Pay » depuis le mois de novembre 2023. Il n’en demeure pas moins que ce système a été proposé pendant près d’un an et demi aux utilisateurs européens, au risque de faire passer la règle juridique pour une simple variable d’ajustement. On notera d’ailleurs que l’entreprise a lancé le modèle « Consent or Pay » au Royaume-Uni au mois de janvier 2026 pour ses services Facebook et Instagram, non sans avoir discuté au préalable de la légalité du système avec le régulateur britannique.

La stratégie de Meta n’a pas été entièrement couronnée de succès, puisqu’elle n’a pas pu échapper à la sanction, mais son montant reste faible en comparaison de la dizaine de milliards d’euros de revenus publicitaires générés par la plateforme Facebook en Europe. L’entreprise s’était sans doute préparée à payer un certain prix pour tenter d’imposer son modèle. Plus largement, ce type d’affaire démontre l’importance du dialogue avec le régulateur, tant pour jauger la portée des obligations de compliance que pour en tester les limites. Les régulateurs sont habitués à tenter de maintenir cet équilibre entre intérêts économiques des opérateurs et protection des finalités d’intérêt général.

Compliance et modèle économique des plateformes

Si les cas évoqués précédemment le sous-entendent, il faut néanmoins expliquer pourquoi les entreprises tentent de contourner les obligations de compliance ou d’en limiter la portée. Bien souvent, les obligations de compliance vont à l’encontre du modèle économique des plateformes, en les empêchant d’en exploiter pleinement le potentiel. On touche ici à la quintessence de la compliance, à savoir un moyen de limiter l’objectif de rendement économique, dès lors qu’il mettrait en péril certaines finalités d’intérêt général. Bien évidemment, la position de ces entreprises dans l’espace numérique facilite grandement l’émergence de pratiques anticoncurrentielles, comme l’ont démontré les affaires Google Android  (Commission européenne, 18 juillet 2018, AT.40099), Amazon Marketplace  (Commission européenne, 20 décembre 2022, AT.40462) ou encore Google Adtech (Commission européenne, 5 décembre 2025, AT.40670). De même, on l’a vu dans l’affaire Meta, le modèle « Consent or Pay » pousse les utilisateurs à un choix manichéen, car peu d’entre eux sont prêts à payer un abonnement pour un service à l’origine gratuit et avec des publicités. L’objectif est bien de récolter massivement des données personnelles afin de proposer aux annonceurs une publicité encore mieux ciblée. Meta n’est pas la seule entreprise à tenter de tirer profit de ses gigantesques volumes de données pour augmenter ses revenus publicitaires. Google a ainsi été sanctionné par la Cnil pour des manquements au droit d’opposition en matière de cookies publicitaires (Cnil, délibération SAN-2020-012 du 7 décembre 2020). Ces mêmes données sont un enjeu central pour le développement de l’intelligence artificielle, et il y a fort à parier que des affaires émergent quant à la réutilisation illégale de données pour alimenter les systèmes d’IA des Gafam.

On touche ici à la quintessence de la compliance, à savoir un moyen de limiter l’objectif de rendement économique, dès lors qu’il mettrait en péril certaines finalités d’intérêt général

La situation ne paraît guère différente pour les obligations de modération fixées par le DSA, celles qui font l’objet des critiques les plus virulentes de la part des Gafam. Certes, la conception américaine de la liberté d’expression s’oppose à la conception européenne. Mais, au-delà de l’aspect politique, les grandes plateformes dégagent leurs revenus de l’engagement des utilisateurs. Or, les contenus polémiques, offensants, choquants – bref, les contenus susceptibles d’être considérés comme illicites et devant être modérés au sens du DSA – sont généralement ceux qui génèrent le plus d’engagements.

On le voit, en donnant priorité à la discussion, la compliance n’apparaît pas toujours pertinente face à la spécificité d’un espace numérique dominé par les Gafam. Il ne faut pas pour autant l’écarter, mais plutôt réfléchir à adapter ses modalités.

Adapter la réponse des régulateurs à la spécificité des Gafam

La compliance fait appel à un ensemble de pouvoirs et de méthodes qui en font un instrument extrêmement flexible. Elle peut être mise au service d’une politique de régulation peu contraignante, à l’image de la sunshine regulation, mais aussi plus invasive avec un recours intensif aux moyens unilatéraux. En matière de numérique, l’enjeu est donc de penser les modalités qui pourraient améliorer l’effectivité des obligations de compliance, et, par la suite, celle des importantes finalités d’intérêt général qui sont assurées par ce biais.

Relever le défi du temps

Les autorités de régulation peinent à apporter des réponses rapides aux violations des obligations de compliance par les Gafam. Il faut dire que leurs procédures supposent un temps infiniment plus long qu’il n’en faut au non-respect des obligations de compliance pour produire des conséquences néfastes. Il suffit de constater que l’enquête ouverte par la Commission à l’encontre de X en raison de la diffusion massive de fausses informations après l’attaque perpétrée par le Hamas le 7 octobre 2023 est encore en cours, la Commission ayant eu le temps d’en ouvrir une autre en janvier 2026, en raison des utilisations illicites du système d’IA Grok.

Ce temps long est incompressible, puisqu’il correspond à l’application d’un ensemble de garanties procédurales reconnues aux entreprises. Toutefois, de telles exigences ne s’opposent pas à ce que le régulateur fasse usage des mesures conservatoires ou provisoires qui lui sont reconnues par les textes.

À ce jour, aucune mesure provisoire (art. 70) n’a pourtant été prise sur le fondement du DSA par la Commission

Ces mesures ont justement été prévues pour répondre à l’urgence de faire cesser les atteintes aux finalités d’intérêt général protégées par les régulateurs. À ce jour, aucune mesure provisoire (art. 70) n’a pourtant été prise sur le fondement du DSA par la Commission. Les conditions posées par le texte sont strictes¹¹, mais elles semblent remplies dans le cas de Grok, le système d’IA de la plateforme X qui a été massivement utilisé pour « déshabiller » des personnes à leur insu. Le système a d’ailleurs fait l’objet de suspensions dans d’autres États. De même, dans l’affaire TikTokLite précitée, il a suffi à la Commission de menacer la plateforme d’une mesure provisoire – la suspension de soixante jours de la plateforme dans l’Union – pour obtenir le retrait du programme de fidélité. Surtout, le champ matériel de ces mesures provisoires n’est pas précisé. La Commission est donc libre de prendre des mesures moins restrictives qu’une suspension pure et simple du service. Il apparaît ainsi judicieux d’exploiter le potentiel de ces mesures d’urgence pour faire cesser les atteintes aux finalités d’intérêt général.

Replacer le dialogue et la sanction

Le dialogue constructif n’est pas toujours le plus adapté face aux Gafam. La concentration des échanges au sein d’un petit nombre de plateformes implique que les conséquences néfastes d’un manquement aux obligations de compliance soient ressenties par un grand nombre d’utilisateurs. Le seuil de gravité du manquement est donc aisément atteint, et il apparaît difficile pour le régulateur de ne pas lancer une procédure de sanction. Dans l’affaire Apple App Store de 2024 (voir La rem n°69-70, p.26), la Commission met en avant le fait que l’abus de position dominante sanctionnée a touché près de 21 millions d’utilisateurs européens, soit 5 % de la population¹².

Le relatif immobilisme des autorités de régulation a de quoi interroger, surtout lorsque certains manquements semblent délibérés

Les sanctions demeurent assez rares, alors que le régulateur dispose d’une large liberté pour décider de l’ouverture d’une procédure de sanction. En outre, le critère de la gravité n’est pas le seul pris en compte, et les décisions de privilégier le dialogue sont prises au regard de plusieurs considérations qu’il faut concilier. Il n’en demeure pas moins que le relatif immobilisme des autorités de régulation a de quoi interroger, surtout lorsque certains manquements semblent délibérés.

Veiller à l’indépendance

En application des règles européennes, l’indépendance des autorités de régulation doit être assurée à l’égard des pouvoirs exécutifs et législatifs, mais aussi des entreprises régulées. Ces garanties ne signifient pas que la régulation serait dépolitisée, mais plutôt que le régulateur est tenu à l’écart des contingences politiques, afin de se concentrer sur la promotion des objectifs d’intérêt général qu’il doit protéger en vertu des textes. De ce point de vue, la régulation des Gafam présente une spécificité, en raison du rôle important dévolu à la Commission européenne. Or, l’indépendance de la Commission n’est pas comparable à celle des autorités de régulation nationales. Les commissaires ont beau être indépendants de leur État d’origine, la couleur politique de la Commission dépend très largement de celle des États membres. Les deux mandats d’Ursula von der Leyen le reflètent bien : le premier a été placé sous le signe d’un Green Deal, traduit par de nombreux textes qui seront partiellement détricotés dans le cadre du New Deal de la compétitivité européenne annoncée à l’aube du second mandat.

Les fonctions de régulateur demeurent généralement à l’abri des objectifs politiques qui peuvent être poursuivis par la Commission. Reste qu’en juillet 2025, mise sous pression par Donald Trump sur fond de menace de retour des droits de douane, la Commission européenne a discrètement décidé de suspendre l’enquête ouverte en décembre 2023 à l’encontre de X au sujet du non-respect de plusieurs dispositions du DSA. Dix jours après la révélation de cette information, la conclusion de l’accord commercial signé entre les États-Unis et la Commission était annoncée. Si l’enquête a, depuis, repris son cours et si la Commission a infligé plusieurs sanctions aux Gafam dans d’autres affaires, cette séquence a fourni un exemple bien malheureux – et fort heureusement rare – d’une instrumentalisation de la fonction de régulation de la Commission au service des intérêts politiques très ponctuels, en l’occurrence des négociations diplomatiques.

Préserver les équilibres

Le contexte actuel est source d’incertitude pour la compliance. Il faut dire qu’elle engendre des coûts financiers et humains importants pour les entreprises, ce qui en fait une cible facile.

Le contexte actuel est source d’incertitude pour la compliance

Au nom de la compétitivité et de l’innovation, les propositions Omnibus présentées par la Commission tout au long de l’année 2025 ont eu pour principal objectif de réduire les obligations de compliance, la modification drastique du champ d’application de la directive relative au devoir de vigilance étant particulièrement évocatrice (directive 2024/1760 du 13 juin 2024 sur le devoir de vigilance des entreprises). Initialement applicable aux entreprises comptant 1 000 salariés et réalisant 450 millions d’euros de chiffre d’affaires annuel, la directive ne le sera plus qu’aux entreprises employant au moins 5 000 salariés et réalisant 1,5 milliard d’euros de chiffre d’affaires annuel.

Le numérique n’échappe pas à ce mouvement. La proposition Digital Omnibus présentée par la Commission en novembre 2025 prévoit notamment de modifier l’article 4 du règlement relatif à l’intelligence artificielle (règlement 2024/1689 du 13 juin 2024, voir supra). En l’état, celui-ci dispose que « Les fournisseurs et les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA ». Il s’agit là d’une obligation de compliance centrale dans ce texte qui en contient bien peu. Son but avoué est justement de réglementer a minima, afin que l’Europe ait une chance dans la course à l’IA. La proposition de la Commission est de supprimer purement et simplement cette obligation en révisant l’article 4 en ces termes : « La Commission et les États membres encouragent les fournisseurs et les déployeurs de systèmes d’IA à prendre des mesures pour garantir un niveau suffisant de maîtrise de l’IA. »

Reste qu’un certain équilibre doit être préservé, afin que la régulation continue de s’exercer légitimement

S’il ne faut pas nier que les obligations de compliance pourraient effectivement être simplifiées et adaptées à la taille des entreprises, les arguments d’innovation et de compétitivité économiques ne justifient en aucun cas son abandon pur et simple. La compliance est en effet une affaire d’ajustement entre des finalités d’intérêt général et un contexte de marché. Il est compréhensible que cette conciliation puisse évoluer, c’est d’ailleurs le rôle du législateur. Reste qu’un certain équilibre doit être préservé, afin que la régulation continue de s’exercer légitimement.

1. Cardon Dominique, Culture numérique, Presses de Sciences Po, « Les Petites Humanités », 2019.
2. Oumedjkane Antoine, Compliance et droit administratif, LGDJ, « Bibliothèque de droit public », vol. 339, 2024, p. 44.
3. Tréguer Félix, Contre-histoire d’internet. Du XV ^e siècle à nos jours, Agone, « Éléments », 2023.
4. Frison-Roche Marie-Anne, « Compliance : avant, maintenant, après », in Borga Nicolas, Marin Jean-Claude, Roda Jean-Christophe (dir.), Compliance : l’entreprise, le régulateur et le juge, Dalloz, « Thèmes & Commentaires – Régulations & Compliance », 2018, p. 30-31.
5. Ibid.
6. Ces outils sont souvent décrits comme étant automatisés, ce qui n’exclut pas, loin s’en faut, le recours massif au microtravail. En ce sens : Casilli Antonio, En attendant les robots. Enquête sur le travail du clic, Seuil, 2019, p. 119-161.
7. Par exemple, voir une description du dispositif automatisé utilisé par Meta pour sa plateforme Facebook : « Regulation (EU) 2022/2065 Digital Services Act Transparency Report for Facebook », August 29, 2025,
   site internet de Meta, p. 11.
8. Commission européenne, « Digital Services Act : retrait permanent de TikTokLite Rewards au sein de l’Union européenne », site de la Commission, 5 août 2024.
9. European Commission, « Statement by Commissioner Breton on steps announced by LinkedIn to comply with DSA provisions on targeted advertisement », commission.europa.eu, June 7, 2024.
10. European Commission, « Meta commits to give EU users choice on personalised ads under Digital Markets Act », commission.europa.eu, December 8, 2025.
11. L’article 70 du DSA impose un « cas d’urgence justifiée par le fait qu’un préjudice grave risque d’être causé aux destinataires du service ».
12. Commission européenne, Apple App Store, n° AT. 40437, pts. 933 et 934, 4 mars 2024.