DSA et DMA, les 2 règlements européens qui sèment la zizanie chez les GAFA

Souveraineté numérique : après le RGPD, l'Europe adopte les lois DMA et DSA

Le marché du numérique s’est considérablement développé ces dernières années. En Europe, selon les chiffres de la Commission européenne, il existerait plus de 10 000 plateformes en ligne, qui proposent divers services aux utilisateurs. Cela leur permet certes d’avoir le choix. Mais toutes ne sont pas logées à la même enseigne.

En effet, toujours selon la Commission européenne, seule une infime partie de ces sites tirerait profit de leurs activités en ligne. Sans les citer explicitement, elle fait référence aux fameux GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et autres plateformes devenues incontournables sur Internet.

Or, ces sites ne sont pas seulement accusés d’avoir des comportements anticoncurrentiels. La Commission leur reproche aussi un manque de transparence dans la collecte des données, et pour certains plateformes, la diffusion de contenus et produits illicites. C’est pourquoi elle a décidé d’adopter des mesures pour lutter contre ces comportements et pratiques, qui prennent la forme de deux règlements :

  • le DSA (Digital Services Act) ;
  • le DMA (Digital Markets Act).

Deux textes applicables dans l’Union européenne, qui vont avoir des conséquences sur les pratiques des acteurs du numérique, et qui ont d’ailleurs créé quelques mécontentements. 

Les DSA et DMA, deux règlements européens

Le Digital Markets Act et le Digital Services Act sont des réglementations de la Commission européenne. Ils répondent à deux principaux objectifs :

  • limiter la domination économique des géants du web ;
  • limiter la diffusion en ligne de produits et contenus illicites.

Deux textes ambitieux, car il n’est guère facile de réguler le marché européen du numérique. Les principales plateformes ne sont pas domiciliées en Europe, et ne sont pas forcément prêtes à se plier aux nouvelles règles de la Commission. Des contestations ont déjà été émises par certaines d’entre elles. Ainsi, mi-novembre 2023, Meta, Apple et TikTok ont saisi le Tribunal de l’Union européenne pour contester le champ d’application des nouvelles règles de concurrence du DMA.

Mais pour l’heure, l’instance européenne ne compte pas faire marche arrière et l’entrée en application de ces 2 textes – qui est progressive – se poursuit. Comportant des mesures et sanctions différentes, ils devraient secouer le marché européen du numérique, et entraîner de nouvelles pratiques. Mais que prévoient-ils vraiment ? Quelles sont les étapes de leur entrée en application ? Notre équipe fait le point sur ces deux règlements, dont les lettres vont résonner encore longtemps à nos oreilles… et à celles des plateformes numériques visées !

Que faut-il savoir sur le Digital Services Act (DSA) ?

Le DSA s’attaque à deux fléaux du web :

  • la propagation des contenus illicites (terroristes, haineux, pédopornographiques par exemple) et de désinformation (les « fake news ») ;
  • la mise à disposition de produits illicites, bien souvent dangereux ou contrefaits.

Il a aussi pour objectif de favoriser la transparence des plateformes numériques vis-à-vis de leurs utilisateurs. Proposé en décembre 2020 par la Commission européenne, il a été adopté en octobre 2022 par le Parlement européen et le Conseil européen. Son application a ensuite été faite en deux étapes :

  • le DSA a d’abord concerné les très grands moteurs de recherche et plateformes numériques à partir du 25 août 2023 ;
  • puis, il s’est appliqué à tous les autres moteurs et plateformes à compter du 17 février 2024.
Digital Services Act - DSA : http://data.europa.eu/eli/reg/2022/2065/oj

Digital Markets Act (DMA) : de quoi s’agit-il ?

Le DMA répond à un autre objectif, assez complexe à atteindre : mieux encadrer les activités économiques des géants du web. Des grandes plateformes qualifiées par la Commission européenne de « contrôleurs d’accès ». Elle les accuse de rendre les autres entreprises et les consommateurs dépendants de leurs services. En d’autres termes, elle estime que ces grandes entreprises limitent fortement la concurrence d’autres sociétés, de plus petite taille.

A l’instar du DSA, son entrée en vigueur comprend plusieurs dates :

  • 12 octobre 2022 : publication au journal officiel de l’UE ;
  • 2 mai 2023 : entrée en application ;
  • 6 mars 2024 : obligation pour les « contrôleurs d’accès » de se conformer aux nouvelles règles du DMA.
Digital Markets Act - DMA : http://data.europa.eu/eli/reg/2022/1925/oj

Les acteurs du numérique concernés par le DSA et le DMA

Comme nous l’avons précédemment indiqué, ces deux textes européens s’adressent principalement aux géants du numérique. A des entreprises que l’on connaît tous, qui sont prédominantes sur le marché. Elles sont souvent désignées par 5 lettres : GAFAM (Google, Apple, Facebook, Amazon, Microsoft). Un acronyme qui n’est plus vraiment d’actualité d’ailleurs puisque :

  • un nouvel acteur est entré en jeu, ByteDance (la société mère de TikTok) ;
  • Facebook est devenu Meta et détient aussi Instagram et WhatsApp ;
  • Google a été réorganisé et fait désormais partie d’Alphabet.

Néanmoins, le résultat reste identique. Le marché du numérique est aujourd’hui dominé par ces très grandes entreprises, et cette situation ne plaît pas à la Commission européenne. Elle compte bien lutter contre leur position dominante avec le Digital Markets Act et le Digital Services Act, deux textes prévoyant de nouvelles obligations pour les pays de l’UE et les entreprises y proposant leurs services, leurs produits.

Les entreprises ciblées par le DSA

En raison de ses objectifs, le DSA ne vise pas forcément les mêmes acteurs du numérique que le DMA. En avril 2023, dans une liste, le commissaire européen Thierry Breton a désigné les grandes entreprises soumises au DSA dès le 25 août 2023. Parmi elles, se trouvaient des mastodontes du web. Voici quelques exemples assez significatifs :

  • pour les sites e-commerce : Alibaba, AliExpress, Amazon, Booking.com ;
  • pour les réseaux sociaux : TikTok, Facebook, Snapchat, LinkedIn ;
  • pour les moteurs de recherche : Google, Bing.

Cette liste a été complétée quelques mois plus tard, en décembre 2023, avec 3 sites pornographiques : XVideos, Pornhub et Stripchat.

Ainsi, en fin d’année 2023, 22 acteurs du numérique, proposant des « services intermédiaires » aux utilisateurs européens, étaient concernés par le DSA. Une liste non exhaustive puisque, depuis le 17 février 2024, ce règlement européen s’applique à TOUTES les entreprises.

Les sociétés visées par le DMA

Le DMA concerne les grandes plateformes que la Commission surnomme les « contrôleurs d’accès », ou « gatekeepers » en anglais. Il s’agit d’entreprises ayant :

  • Une activité et une position économique forte dans plusieurs pays de l’UE. Elles doivent réaliser au moins 7,5 milliards d’euros de chiffres d’affaires dans l’espace économique européen ou avoir une capitalisation de 75 milliards d’euros minimum, avec une activité dans au moins 3 pays membres de l’UE.
  • Une position d’intermédiaire quasi incontournable en faisant le lien entre les utilisateurs et les entreprises. Le service proposé – moteur de recherche, réseau social ou messagerie par exemple – doit être utilisé chaque mois par au moins 45 millions de personnes et chaque année, par 10 000 professionnels au minimum.
  • Une position solide et durable sur le marché, à savoir le dépassement, au cours des 3 années précédentes, des seuils que nous venons de citer.

Lorsque des entreprises répondent à ces critères, elles doivent informer la Commission, dans le respect d’un délai, qui est fixé à 2 mois après avoir atteint ces seuils. Ensuite, la Commission mène son enquête pour déterminer si, ces entreprises peuvent être identifiées comme « contrôleurs d’accès ». Si c’est le cas, elles ont 6 mois pour se conformer aux obligations du DMA.

Les nouvelles règles instaurées par ces textes

Le Digital Markets Act et le Digital Services Act ont été adoptés afin de restreindre le monopole des grandes plateformes numériques, et permettre une concurrence équitable entre les acteurs de ce secteur. Leur application devrait rendre Internet plus sûr, et mieux protéger les utilisateurs. Chaque texte comprend donc différentes mesures et obligations pour ces acteurs, qu’ils doivent respecter sous peine de sanctions. 

Les nouveautés prévues par le DSA

Le DSA impose davantage de responsabilités aux plateformes, concernant les contenus qu’elles hébergent. En effet, ce texte veut lutter contre :

  • la diffusion de contenus illicites ;
  • la vente de produits illicites.

Pour atteindre ces objectifs, de nouvelles obligations pèsent sur les entreprises. Elles doivent :

  • permettre aux utilisateurs de signaler des contenus ou produits illicites à l’aide d’un outil, puis les retirer ou en bloquer l’accès dès que le signalement a été enregistré ;
  • coopérer avec les « signaleurs de confiance », des organisations, associations ou individus désignés dans les différents États, dont les signalements sur des contenus ou produits illicites doivent être traités en priorité ;
  • bannir les publicités ciblées sur la religion, les préférences sexuelles, la santé des utilisateurs et leurs convictions politiques, et celles ciblées sur les mineurs ;
  • faire preuve de transparence sur le fonctionnement de leurs systèmes de recommandation (leurs algorithmes publicitaires notamment) ;
  • proposer aux utilisateurs un système de recommandation alternatif, qui ne repose pas sur leur profilage (cette mesure concerne uniquement les très grands acteurs, comme Google, Amazon) ;
  • bannir les « pièges à utilisateurs » ou « dark patterns » qui incitent les utilisateurs à réaliser sur un site, des actions non désirées au profit de celui-ci ;
  • prendre des mesures pour limiter les risques liés à l’utilisation de leurs services (atteintes à la liberté d’expression, conséquences négatives sur la vie privée des utilisateurs …etc.) ;
  • désigner un représentant légal dans au moins un pays de l’UE.

De même, des mesures spécifiques ont été prises pour les places de marché, qui sont obligées de :

  • mentionner un certain nombre d’informations relatives aux produits et services vendus ;
  • détenir des renseignements sur les vendeurs de biens et services illicites afin de pouvoir les tracer.

Enfin, le DSA prévoit d’autres mesures pour surveiller et sanctionner ces plateformes. Par exemple :

  • Dans chaque État membre de l’UE, un « coordinateur des services numériques » peut, s’il constate des irrégularités et dans certains cas, enquêter, saisir la justice et sanctionner une entreprise.
  • La Commission européenne est désormais dotée d’un pouvoir exclusif de supervision des très grands acteurs du numérique (plateformes et moteurs de recherche).

Les principales mesures du DMA

Le DMA prévoit également de nouvelles obligations pour les entreprises du web, en particulier les « contrôleurs d’accès », pour les empêcher :

  • d’occuper une position dominante sur le marché ;
  • d’adopter des pratiques déloyales, anti-concurrentielles.

Parmi les mesures importantes à respecter, nous pouvons citer :

  • l’interdiction pour les « contrôleurs d’accès » de favoriser leurs propres produits et services au détriment de leurs concurrents ;
  • l’interdiction d’imposer des logiciels (navigateurs internet et moteurs de recherche par exemple) par défaut à l’installation de leur système d’exploitation ;
  • l’obligation de permettre la désinstallation par les utilisateurs d’applications préinstallées ;
  • l’autorisation pour une entreprise utilisatrice de faire la promotion de ses produits et services hors de la plateforme à laquelle est liée ;
  • l’interdiction d’utiliser les données personnelles d’un internaute pour de la publicité ciblée sans son consentement explicite ;
  • la possibilité pour les utilisateurs des services de messagerie de transférer leurs données d’un service à un autre.

Avec le Digital Services Act et le Digital Markets Act, la protection des consommateurs et la lutte contre concurrence déloyale des géants du numérique envers leurs concurrents, quelle que soit leur taille, sont renforcées. Pour veiller à l’application de ces deux textes, des sanctions ont été prévues. Sans elles, il est fort probable que les mesures des DSA et DMA n’auraient guère été respectées.  

Quelles sanctions en cas de non-respect ?

Pour garantir l’application de ces deux règlements européens, des sanctions sont au programme, qui sont spécifiques à chaque texte.

Les sanctions prévues par le DSA

Avec le DSA, il appartient aux États membres de l’UE de déterminer les sanctions financières applicables, à hauteur de 6% maximum du revenu ou chiffre d’affaires annuel de l’entreprise concernée. De même, dans chaque État, un « coordinateur des services numériques » est désigné pour veiller au respect du DSA dans son pays. En France, ce rôle revient à l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique).

Pour les grandes plateformes, la Commission européenne a également un droit de contrôle pour vérifier si elles respectent les règles. En cas de violations graves et répétées des mesures du DSA, une interdiction sur le marché numérique européen peut être prononcée. 

Les sanctions en cas de non-respect du DMA

Si un « contrôleur d’accès » ne respecte pas les règles du DMA, la Commission lui indique les mesures concrètes à mettre en place. Une sorte de rappel à l’ordre. Mais s’il ne le fait pas, il peut être sanctionné d’une amende. Son montant peut atteindre jusqu’à 10% de son chiffre d’affaires mondial total (et jusqu’à 20% de ce CA en cas de récidive).

De même, si une entreprise enfreint au moins 3 fois en 8 ans les règles du DMA, la Commission peut ouvrir une enquête de marché et prendre des mesures plus strictes.

Ainsi, la bonne application du DMA par les « contrôleurs d’accès » désignés par la Commission européenne relève de sa responsabilité. Des enquêtes peuvent également être ouvertes par les autorités nationales de concurrence des États membres en cas d’infractions présumées.

Ces deux textes de régulation du marché numérique européen imposent de nouvelles obligations aux acteurs. Des mesures plus contraignantes, qu’ils doivent respecter s’ils veulent continuer à proposer leurs produits et services aux internautes européens. Mais vont-ils vraiment tous jouer le jeu ? Ne vont-ils pas chercher, par divers moyens, à les contourner ? Pour le moment, la plupart d’entre eux semblent s’en accommoder – malgré des contestations publiques – et ont commencé à changer certaines de leurs pratiques. Il faut attendre encore quelques mois – et les premières sanctions ? – pour savoir s’ils vont bel et bien s’y conformer.

Facebook
Twitter
LinkedIn