Le Digital Markets Act (DMA) et Digital Services Act (DSA), deux règlements européens visant à réguler internet sont entrés en application respectivement le 2 mai 2023 et le 25 août 2023 pour les grandes plateformes. Les obligations imposées par ces règlements s'appliqueront à l'ensemble des plateformes concernées à partir du 1er trimestre 2024.
Qui est concerné par ces règlements ? Quelles obligations et quelles sanctions prévoient ces règlements ? Que faut-il mettre en place ?
Tout comme le règlement relatif à la protection des données, l’esprit est à l’autorégulation documentée, sous peine de lourdes sanctions financières.
Nous verrons dans un premier temps les apports du règlement UE 2022/1925 sur les marchés numériques appelés communément « Digital Markets Act » et dans un second temps, le règlement UE 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques appelé communément le « Digital Sevices Act ».
I. Le Digital Markets Act :
Un règlement qui redessine la concurrence en ligne
-> Quels objectifs ?
Le DMA est le fruit d’une réflexion ayant trouvé son inspiration dans le système de régulation des secteurs de l’énergie et des télécommunications. L’Union européenne a souhaité matérialiser la nécessité de s’adapter aux évolutions du secteur, notamment en matière de politique de la concurrence appliquée aux entreprises dites « contrôleurs d’accès » au web.
L’un des objectifs principaux du DMA est de limiter les nombreux avantages grâce auxquels les géants du net peuvent conserver une position dominante sur le marché. Le règlement vise à prévenir la dominance déloyale, garantir l’équité et la transparence pour l’ensemble des participants du marché numérique, protéger les droits des utilisateurs et éviter les pratiques anticoncurrentielles.
-> Qui est concerné par le règlement ?
Le Digital Markets Act (DMA) s’applique aux fournisseurs de « services de plateformes essentiels » appelés « contrôleurs d’accès » (appelés aussi « gatekeepers »). Une entreprise se verra qualifier de « contrôleur d’accès » et sera concernée par les obligations imposées par le DMA si elle :
Fournit un ou plusieurs services de plateformes essentiels dans au moins trois pays européens ;
Enregistre au moins 45 millions d’utilisateurs actifs chaque mois en Europe et 10 000 professionnels par an pendant les trois dernières années,
A une position économique forte sur le marché à savoir une capitalisation boursière d’au moins 75 milliards d’euros, ou au moins 7,5 milliards d’euros de chiffre d’affaires réalisé dans l’Espace économique européen ;
Le règlement liste dix services de plateformes essentiels : les services d’intermédiation en ligne, les moteurs de recherche en ligne, les services de réseaux sociaux en ligne, les services de plateformes de partage de vidéos, les services de communications interpersonnelles non fondés sur la numérotation, les systèmes d’exploitation, les navigateurs internet, les assistants virtuels, les services cloud, les services de publicité en ligne.
Concrètement les entreprises concernées devront s’identifier auprès de la Commission, qui après les désignera officiellement « contrôleur d’accès ».
Contrairement au DSA, le DMA vise exclusivement les grandes plateformes qui ont un poids important sur le marché intérieur. Il est source d’obligations pour ces dernières et en conséquence sources de nouveaux droits pour les autres entreprises interagissant avec elles sur le net.
-> Quelles sont les obligations imposées par ces règlements ?
Une fois désignée par la Commission, l’entreprise concernée nommera un « responsable de conformité » chargé de mettre en œuvre les mesures permettant de se conformer aux obligations du règlement.
Le DMA impose aux entreprises une série d'obligations et d'interdictions spécifiques, adaptées à chacun de leurs services de plateformes essentiels. Certaines de ces exigences s'appliquent de manière générale, tandis que d'autres sont déterminées au cas par cas. Parmi les obligations imposées par le règlement aux contrôleurs d’accès, nous pouvons citer :
Permettre aux entreprises de communiquer et de promouvoir leurs offres gratuitement, sans imposer des conditions restrictives ;
Fournir des informations gratuites aux annonceurs et aux éditeurs sur les coûts, les frais et les rémunérations liés aux services de publicité en ligne ;
Faciliter le processus de désabonnement autant que celui de l'abonnement à un service de plateforme essentiel ;
Permettre la désinstallation d'applications préinstallées sur les appareils tels que téléphones, ordinateurs, ou tablettes facilement ;
Assurer l'interopérabilité des fonctionnalités de base de leurs services de messagerie instantanée (comme WhatsApp, Facebook Messenger...) avec celles de leurs concurrents plus modestes ;
Autoriser les vendeurs à promouvoir leurs offres et à conclure des contrats en dehors des plateformes ;
Fournir aux vendeurs un accès aux données de performance marketing ou publicitaire sur leur plateforme ;
Informer la Commission européenne de toute acquisition ou fusion réalisée.
Le règlement prohibe également certaines pratiques :
Utiliser des données personnelles des utilisateurs à des fins publicitaires sans leur consentement ;
Combiner des données provenant de différents services sans consentement ;
Empêcher les entreprises d'offrir des produits ou services à des prix différents via d'autres canaux ;
Exiger l'utilisation de certains services ou s'abonner à d'autres services comme condition d'utilisation de leurs propres services ;
Imposer par défaut l'utilisation des logiciels les plus importants (tels que les navigateurs web, moteurs de recherche, assistants virtuels) lors de l'installation de leur système d'exploitation. À ce titre, un écran proposant plusieurs choix devra être proposé pour permettre aux utilisateurs d'opter pour un service concurrent ;
Favoriser leurs propres services et produits par rapport à ceux des vendeurs utilisant leur plateforme (auto-préférence) ou exploiter les données des vendeurs pour les concurrencer ;
Imposer aux développeurs d'applications l'utilisation de certains services annexes, tels que les systèmes de paiement, par exemple.
Toute personne lésée par un contrôleur d'accès peut invoquer cette liste d'obligations et d'interdictions pour réclamer des dommages et intérêts devant les juridictions nationales.
-> Quelles sont les sanctions applicables ?
Dans le cadre du DMA, la Commission européenne peut ouvrir une enquête de marché en adoptant une décision à cet effet. Elle peut également exercer ses pouvoirs d'enquête avant d'ouvrir formellement une enquête de marché.
Les États européens ont décidé d’augmenter considérablement le montant des amendes afin de contraindre les entreprises à respecter les nouvelles obligations. En effet, une entreprise qui ne respecte pas le DMA pourra se voir être sanctionnée d’une amende équivalente à 10% de son chiffre d’affaires mondial et 20% en cas de récidive.
-> Dates clés de 2024
Le Digital Markets Act est entré en application le 2 mai 2023. Les entreprises concernées ont jusqu’au 6 mars 2024 pour se conformer aux obligations du règlement.
II. Le Digital Services Act :
« Ce qui est interdit offline doit l'être online »
-> Quels objectifs ?
Ce règlement se pose comme un instrument de régulation pour les États membres, visant à éviter une distorsion du marché au profit des géants de l’Internet en matière de concurrence, et à prévenir la propagation de contenus non désirables en ligne.
Le DSA a pour ambition de créer un environnement numérique plus sûr, plus transparent et plus équitable, tout en encourageant l'innovation et la compétitivité dans le secteur numérique européen. Il a pour objectif de responsabiliser les plateformes, protéger les utilisateurs du web, prévenir la propagation de contenu illicite, soutenir les entreprises numériques, en particulier les petites et moyennes entreprises, assurer la transparence des plateformes en matière de modération de contenu, lutter contre les pratiques anticoncurrentielles, renforcer le pouvoir des autorités de régulation et protéger les mineurs sur le web.
-> Qui est concerné par le règlement ?
Le DSA s’applique aux « fournisseurs de services intermédiaires en ligne » tels que les hébergeurs, les réseaux sociaux, les moteurs de recherche, les plateformes de voyage et d'hébergement ou les sites marchands, les services cloud. Il est déjà en vigueur depuis le 25 août 2023 pour les grandes plateformes qui réunissent plus de 45 millions d’utilisateurs mensuels en Europe, c’est-à-dire les 17 plus grandes plateformes en Europe et les 2 moteurs de recherche les plus utilisés.
Les sociétés comptant moins de 50 salariés et comptabilisant un chiffre d'affaires inférieur à 10 millions d'euros seront dispensées de certaines obligations si elles ne dépassent pas le seuil de 45 millions d'utilisateurs par mois.
-> Quelles sont les obligations imposées par le règlement ?
Le DSA oblige tout d’abord les entreprises concernées à désigner un point de contact unique, ou un représentant légal s’ils sont établis hors de l’Europe, qui sera chargé de recevoir les plaintes à l’encontre des intermédiaires en ligne et de coopérer avec les autorités nationales en cas d’injonction.
De plus, de nombreuses obligations sont imposées à ces entreprises afin de lutter contre les contenus illicites, de rendre plus transparentes leurs décisions en matière de modération des contenus et d’atténuer les risques. Les très grandes plateformes se voient dans l’obligation « d’analyser les risques systémiques qu’ils engendrent et de mettre en place une analyse de réduction des risques ». Elles seront tenues d’effectuer au minimum une analyse annuelle.
Les obligations principales prévues par le règlement sont :
Notifier à leurs utilisateurs toute modification significative apportée à leurs conditions générales.
Rédiger de manière claire, compréhensible, accessible et dénuée d'ambiguïté les conditions générales, incluant des informations sur les mécanismes de recours et de réparation disponibles pour l'utilisateur.
Produire des rapports de transparence concernant leurs procédures internes de traitement des réclamations et leurs activités de modération des contenus.
Temporairement suspendre la fourniture de leurs services aux utilisateurs diffusant fréquemment des contenus manifestement illicites, après un avertissement préalable et pour une période raisonnable.
Mettre en place des mesures appropriées et proportionnées visant à assurer un niveau élevé de protection de la vie privée, de la sûreté et de la sécurité des mineurs.
-> Quelles sont les sanctions applicables ?
Le règlement prévoit le renforcement des autorités européennes et nationales dans leurs compétences respectives en matière de régulation des services numériques. La Commission européenne se voit attribuer « un pouvoir exclusif de supervision des très grandes plateformes et des très grands moteurs de recherche pour les obligations propres à ce type d’acteur ». Pour toute violation du DSA, la Commission pourra infliger une amende pouvant aller jusqu’à 6% du chiffre d’affaires mondial de l’entreprise. En cas de violations graves et répétées au règlement, les plateformes pourront se voir interdire leurs activités sur le marché européen.
Dans chaque État membre, une autorité indépendante assurera la fonction de "coordinateur des services numériques". En France, le coordinateur national est l'Arcom.
Ces coordinateurs sont chargés de contrôler le respect du règlement et de recevoir les plaintes effectuées contre les intermédiaires en ligne. Ils sont dotés d’un pouvoir d’injonction de produire, ou de conserver, des preuves qui devra être proportionné au cas en question et à la sensibilité des données concernées.
-> Dates clés de 2024
Depuis le 25 août 2023, 19 entreprises sont concernées par les obligations du Digital Services Act. À partir du 17 février 2024, ce sont toutes les grandes entreprises qui exercent dans le secteur des nouvelles technologies qui seront soumises aux mêmes règles.