Dans l’objectif de rééquilibrer la concurrence et d’assurer l’équité des marchés dans le secteur numérique, le Parlement et le Conseil de l’Union européenne ont adopté le règlement sur les marchés numériques qui énonce une série d’obligations applicables notamment aux géants d’Internet.
Présenté par la Commission européenne en 2020 et approuvé par le Conseil de l’Union européenne en juillet 2022, le règlement sur les marchés numériques[1] plus connu sous l’acronyme DMA – pour Digital Markets Act – a été publié au journal officiel de l’Union européenne (UE) le 14 septembre 2022.
Le DMA s’insère dans une politique de régulation des marchés numériques, initiative portée par la Commission européenne qui a pour ambition de rendre l’économie numérique « éthique ».
Ce règlement a notamment pour objectif de lutter contre les pratiques anticoncurrentielles des géants d’Internet (GAFAM, NATU[2]…) et de corriger les déséquilibres causés par leur domination sur le marché numérique.
À cet égard, le texte énonce un certain nombre d’obligations et d’interdictions que devront respecter les grands acteurs du numérique, sous peine de sanctions pécuniaires importantes.
Les grands acteurs du numérique dans le viseur de la Commission européenne
Le DMA n’a pas vocation à s’appliquer à tous les acteurs numériques, mais seulement à ceux qui bénéficient d’un important pouvoir de marché et qui proposent un « service de plateforme essentiel » à destination d’entreprises ou d’utilisateurs finaux situés dans l’Union européenne. Ces acteurs sont désignés comme des « contrôleurs d’accès ».
Les services de plateforme essentiels désignent notamment les plateformes d’intermédiation, moteurs de recherches, réseaux sociaux, plateformes de partages de vidéos, messageries en ligne, etc.
Une entreprise qui fournit un tel service est considérée comme contrôleur d’accès si trois conditions sont réunies :
- Elle a une forte incidence sur le marché intérieur ;
- Elle est un point d’accès majeur des entreprises utilisatrices pour toucher leur clientèle ; et
- Elle jouit, ou jouira dans un avenir proche, d’une position solide et durable sur le marché numérique.
L’article 3 § 2 du Règlement définit des seuils permettant de déterminer qu’une entreprise est un contrôleur d’accès :
- L’entreprise fournit des services de plateforme essentiels dans au moins trois États membres de l’UE ;
- Elle réalise un chiffre d’affaires annuel dans l’UE supérieur ou égal à 7.5 milliards d’euros au cours des trois derniers exercices, ou bien sa capitalisation boursière a atteint au mois 75 milliards d’euros au cours du dernier exercice ;
- Elle a enregistré, au cours de chacun des trois derniers exercices, au moins 45 millions d’utilisateurs par mois établis ou situés dans l’UE et 10 000 entreprises utilisatrices par an établies dans l’Union.
De manière similaire au Règlement Général sur la Protection des Données personnelles (RGPD), le DMA est d’application extraterritoriale et s’applique que le contrôleur d’accès soit établi ou non dans l’Union européenne.
Les entreprises qui atteignent ces seuils devront s’identifier auprès de la Commission européenne, qui les désignera formellement comme contrôleurs d’accès. À défaut, la Commission a également le pouvoir de les désigner unilatéralement comme tels. Elle devra alors déterminer pour quels services l’entreprise est soumise à ce statut, cette dernière pouvant le contester.
Le renforcement significatif des obligations à la charge des contrôleurs d’accès
Le DMA énonce une série d’obligations et d’interdictions auxquelles les contrôleurs d’accès doivent se conformer. Ces obligations visent notamment à apporter plus de transparence aux entreprises utilisatrices de services de plateforme essentiels ainsi qu’aux utilisateurs finaux. Elles visent également à supprimer un certain nombre de barrières qui s’imposaient à eux lors de l’utilisation de ces services.
- Les obligations visant à mettre fin au verrouillage des services de plateforme essentiels
Le DMA vise notamment à mettre fin ou limiter l’enfermement des entreprises utilisatrices et des utilisateurs lorsqu’ils utilisent des services de plateforme essentiels.
Aussi, les contrôleurs d’accès ne pourront pas interdire aux entreprises utilisatrices de proposer leurs produits ou services sur d’autres canaux. Ces dernières auront également le droit de promouvoir leurs offres gratuitement et à des conditions différentes via une plateforme donnée sans pour autant devoir conclure le contrat avec les utilisateurs finaux par son biais.
D’autres obligations visent également à ne pas rendre impératif le recours aux services du contrôleur d’accès.
- Les obligations visant à limiter le traitement des données personnelles des utilisateurs finaux
Puisque leurs services sont utilisés par de nombreux utilisateurs et pour de multiples finalités, les contrôleurs d’accès sont amenés à traiter d’importants volumes de données à caractère personnel.
Le DMA prévoit à cet égard des limitations quant aux traitements que les contrôleurs d’accès ont le droit de mettre en œuvre.
Ils n’auront notamment pas le droit, sans le consentement de l’utilisateur final, de combiner les données personnelles provenant d’un service de plateforme avec un autre service de plateforme ou un service tiers.
Ils ne pourront également pas utiliser de manière croisée les données personnelles provenant d’un service de plateforme dans le cadre d’autres services fournis séparément par le contrôleur d’accès, ni inscrire les utilisateurs finaux à d’autres services aux fins de combinaison de données.
- Les obligations visant à renforcer la transparence dans le secteur de la publicité en ligne
En lien avec la précédente série d’obligations, les contrôleurs d’accès ne pourront pas traiter, en l’absence du consentement de l’utilisateur final, les données de ce dernier à des fins de publicité en ligne pour leur adresser notamment de la publicité ciblée.
Le règlement vient également apporter de la transparence dans le marché de la publicité en ligne en offrant la possibilité aux éditeurs de sites internet d’accéder gratuitement aux outils de mesure de la performance des contrôleurs d’accès et aux données nécessaires pour mener une vérification indépendante de leurs inventaires publicitaires.
De manière plus générale, les moteurs de recherches devront, sur demande des entreprises tierces utilisatrices, leur fournir un accès aux données relatives au référencement qu’ils effectuent. L’accès porte notamment sur les données relatives aux classements, requêtes, clics et vues en lien avec les recherches gratuites ou payantes des utilisateurs. L’accès à ces données permettra aux entreprises utilisatrices d’optimiser leurs services et/ou de contester les pratiques d’un moteur de recherche.
- Les obligations visant à assurer l’interopérabilité des services
Apport majeur du DMA : les contrôleurs d’accès seront tenus d’assurer l’interopérabilité de leurs services avec ceux de tiers.
Ces obligations visent notamment les services de messagerie textuelle de bout en bout entre deux utilisateurs finaux, comme WhatsApp, ou encore les services permettant le partage d’images, d’envoyer des vocaux, des vidéos ou encore des fichiers joints de bout en bout entre deux utilisateurs finaux.
Plus globalement, le DMA poursuit dans la lignée du RPGD et prévoit un principe de général portabilité des données.
- Les obligations visant la pratique contractuelle des contrôleurs d’accès
Plus subsidiairement, le règlement sur les marchés numériques impose un certain nombre d’obligations affectant la pratique contractuelle des contrôleurs d’accès.
Ils devront notamment appliquer à l’ensemble de leurs utilisateurs des conditions générales d’accès équitables, raisonnables et non discriminatoires.
Leurs conditions générales ne devront par ailleurs pas contenir de dispositions disproportionnées relatives à la résiliation de la fourniture d’un service. Ils devront également s’assurer que ces conditions de résiliation pourront être appliquées sans difficulté excessive.
Enfin, ils devront permettre aux entreprises et aux utilisateurs finaux de saisir les tribunaux compétents en cas de non-respect du droit de l’Union ou du droit national.
Des sanctions pécuniaires importantes
Dans la mesure où il a trait à la concurrence sur le marché européen, le DMA dote la Commission européenne de pouvoirs de contrôle et de sanction importants.
Aussi, en cas de non-respect des obligations prévues par le règlement, la Commission aura la possibilité d’infliger au contrôleur d’accès des amendes d’un montant pouvant aller jusqu’à 10% de son chiffre d’affaires mondial total réalisé au cours de son dernier exercice. Ce montant pourra être porté jusqu’à 20% en cas de récidive.
Elle pourra également adopter des actes d’exécution imposant au contrôleur d’accès de prendre toutes mesures correctives, comportementales ou structurelles afin de se mettre en conformité avec le règlement.
L’entrée en application du DMA
Le règlement entrera en application le 2 mai 2023. Avant cela, la Commission est invitée à prendre des actes d’exécution pour déterminer les modalités pratiques de mise en œuvre des nouvelles obligations.
En parallèle, le Conseil et le Parlement européen ont également adopté, le 19 octobre 2022, le règlement sur les services numériques (DSA) qui vise à protéger les utilisateurs en ligne contre les contenus illicites, dangereux et préjudiciables.
Lire le règlement 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique.
[1] Règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique (règlement sur les marchés numériques).
[2] Cet acronyme désigne les entreprises Netflix, AirBnb, Tesla et Uber.
