Questions-Réponses 
Plus de 10 000 plateformes en ligne opèrent aujourd’hui sur le marché européen du numérique, estime la Commission européenne. Pourtant, seule une toute petite partie d’entre elles capterait l’essentiel de la valeur générée par ces activités.
S’ils ne sont pas directement cités, les Gafam (Google, Apple, Facebook, Amazon et Microsoft) et autres géants du secteur sont les principales cibles des deux textes proposés le 15 décembre 2020 par l’exécutif européen : le règlement sur les marchés numériques (Digital Markets Act, ou DMA) et le règlement sur les services numériques (Digital Services Act, ou DSA).
Le DMA vise à mieux encadrer les activités économiques des plus grandes plateformes. Ces grandes entreprises sont qualifiées par la Commission de “contrôleurs d’accès” pour indiquer qu’elles sont devenues des passages obligés afin de bénéficier des avantages d’internet. Elles sont accusées de rendre les plus petites entreprises et les consommateurs particulièrement dépendants de leurs services et d’empêcher la concurrence des autres sociétés.
Le DSA, qui modernise une partie de la directive de 2000 sur le commerce électronique jusque-là inchangée, s’attaque quant à lui aux contenus illicites (haineux, pédopornographiques, terroristes…) et aux produits illicites (contrefaits ou dangereux) proposés en ligne. Il cherche notamment à harmoniser les législations nationales déjà en place dans les Etats membres en la matière et a pour mot d’ordre : “ce qui est illégal hors ligne doit également être illégal en ligne”.
Depuis quand ces règlements s’appliquent-ils ?
Le 12 octobre 2022, soit près de deux ans après la proposition de la Commission, le DMA a été publié au journal officiel de l’Union européenne. Il est officiellement entré en application le 2 mai 2023, le temps pour la Commission de traduire ses nouvelles règles par des actes juridiques et d’installer le comité et le groupe d’experts qui doivent l’assister. Mais c’est surtout depuis le 7 mars 2024 que les plateformes qualifiées de contrôleurs d’accès doivent se conformer à ses nouvelles obligations, sous peine de sanctions.
Le DSA a quant a lui été publié le 27 octobre 2022. Il s’est appliqué en deux temps. D’abord uniquement pour les très grandes plateformes en ligne et les très grands moteurs de recherche depuis le 25 août 2023, soit quatre mois après leur désignation comme tels par la Commission européenne. Ensuite pour les autres plateformes, 15 mois après son entrée en vigueur (20 jours après la publication au JO de l’UE) soit le 17 février 2024. Depuis cette date, les Etats ont également habilité leurs coordinateurs pour les services numériques. En France, il s’agit de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom).
Quels sont les acteurs visés ?
Les deux textes entrainent de nouvelles obligations pour les pays de l’UE et des entreprises qui y opèrent.
Le DMA et le DSA ne ciblent pas exactement les mêmes acteurs. Pour le DMA, il s’agit exclusivement des grandes plateformes : celles qui ont un “poids important sur le marché intérieur”, fournissent “un service de plateforme essentiel qui constitue un point d’accès majeur permettant aux entreprises utilisatrices d’atteindre leurs utilisateurs finaux” et “[jouissent] d’une position solide et durable, dans ses activités, ou [jouiront], selon toute probabilité, d’une telle position dans un avenir proche”, énumère le règlement.
Plus précisément, une plateforme est définie comme “contrôleur d’accès” (entre une entreprise et un utilisateur) si elle cumule :
- une position économique forte : au moins 7,5 milliards d’euros de chiffre d’affaires réalisés dans l’Espace économique européen ou une capitalisation boursière / valeur marchande d’au moins 75 milliards d’euros avec une activité dans au moins trois Etats membres ;
- le contrôle d’un “service de plateforme essentiel” (moteur de recherche, réseau social, messagerie, place de marché en ligne…) utilisé par au moins 45 millions d’Européens par mois et au moins 10 000 professionnels par an dans l’Union ;
- le dépassement de ces seuils au cours des trois années précédentes (caractère “solide et durable” de sa position sur le marché).
Les sociétés répondant à ces critères doivent en informer la Commission au plus tard deux mois après que ces seuils ont été atteints - celle-ci dispose alors de deux mois pour désigner ces contrôleurs d’accès. Dans le cas contraire, la Commission peut procéder à des enquêtes pour identifier des contrôleurs d’accès. Elle peut aussi décider de qualifier comme tels des sociétés selon des critères plus qualitatifs ou, à l’inverse, exempter une société qui obéirait en théorie à la définition du contrôleur d’accès. Le texte prévoit également des exemptions pour raisons de santé publique et de sécurité publique.
Une fois désignées comme contrôleurs d’accès par la Commission, les entités disposent d’un délai maximum de six mois pour se conformer aux obligations prévues par le DMA.
La Commission peut choisir de réévaluer les critères définissant un contrôleur d’accès pour s’adapter à l’évolution de l’économie numérique.
Dans le cadre du DSA en revanche, la plupart des entreprises proposant des “services intermédiaires” aux utilisateurs européens sont concernées : fournisseurs d’accès à internet, services en nuage, places de marché, réseaux sociaux… les courriels et messageries privées ne le sont pas.
Des obligations supplémentaires sont prévues pour les hébergeurs, dont les plateformes, et plus encore pour les “très grandes plateformes” (plus de 45 millions d’utilisateurs actifs chaque mois, soit 10 % de la population européenne) ainsi que les “très grands moteurs de recherche en ligne” (plus de 45 millions de consommateurs de l’UE). Là encore, ces seuils pourront être ultérieurement revus.
Quelles sont les sociétés ciblées par le DMA et le DSA ?
Désignées par la Commission européenne le 6 septembre 2023, les 22 plateformes concernées par le DMA appartiennent à six géants du numérique : Alphabet (Google Search, Android, Maps…), Amazon, Apple, Bytedance (TikTok), Meta (Facebook, Instagram, WhatsApp…) et Microsoft. Ils doivent depuis cette date avoir nommé un responsable du respect des règles rattaché à leur conseil d’administration, et informer la Commission de tout projet de fusion ou d’acquisition. Depuis le 7 mars 2024, ils doivent également démontrer qu’ils respectent leurs obligations sous peine de sanctions.
Dans le cadre du DSA, la Commission européenne a désigné le 25 avril 2023 une première liste de 17 très grandes plateformes en ligne (Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, X (ex-Twitter), Wikipedia, YouTube, Zalando) et 2 très grands moteurs de recherche en ligne (Bing et Google Search). Celle liste a été complétée le 20 décembre 2023 par trois sites pornographiques : XVideos, Pornhub et Stripchat. Ce sont donc aujourd’hui 22 acteurs qui doivent respecter des règles renforcées (transparence des algorithmes, atténuation des risques liés à la diffusion de contenus illégaux, systèmes de recommandation alternatifs…) et sont directement supervisés par la Commission européenne.
Quelles sont les nouvelles règles imposées par le DMA ?
DMA et DSA ne répondent pas aux mêmes défis. La législation sur les marchés numériques (DMA) doit limiter les nombreux avantages grâce auxquels les contrôleurs d’accès peuvent conserver une position dominante sur le marché. Face à leurs pratiques parfois déloyales, le texte vise à imposer un certain nombre d’obligations ex ante : jusqu’à présent, les amendes sanctionnant les infractions au droit de la concurrence intervenaient souvent tard, ce qui n’incitait pas les sociétés à modifier leur comportement en profondeur.
Avec le DMA, les contrôleurs d’accès n’ont plus le droit de favoriser leurs propres services et produits par rapport à ceux des entreprises qui les utilisent, ou d’exploiter les données de ces dernières pour les concurrencer. Ils ne peuvent pas imposer les logiciels les plus importants (comme les navigateurs ou les moteurs de recherche par exemple) par défaut à l’installation de leur système d’exploitation. Désinstaller des logiciels ou applications préinstallés sur son ordinateur, son téléphone ou sa tablette devient également possible dans la plupart des cas.
Le règlement garantit aussi la possibilité pour une entreprise utilisatrice de promouvoir son offre hors d’une plateforme à laquelle elle est liée, ainsi que de conclure des contrats avec ses clients ou proposer ses propres services aux consommateurs indépendamment de cette dernière.
Afin de faire la promotion de ses produits et services concurrentiels, une entreprise, et notamment un vendeur de biens en ligne, peut demander l’accès aux données générées par ses activités (performance marketing…). Elle peut également obtenir les informations liées aux annonces publicitaires qu’elle finance sur une plateforme.
L’accord entre le Conseil et le Parlement européen du 24 mars 2022 a ajouté plusieurs nouveautés au projet initial. Comme le souhaitaient les eurodéputés, une plateforme ne peut associer les données personnelles d’un utilisateur à des fins de publicité ciblée qu’en cas de consentement explicite. D’autres dispositions limitant la publicité ciblée sont prévues par le DSA.
Les principaux services de messagerie (Whatsapp, Facebook Messenger, iMessage…) doivent également être interopérables avec leurs concurrents plus modestes. Un utilisateur doit ainsi être en mesure d’envoyer des messages, des fichiers ou de passer des appels vidéo depuis une application de messagerie vers une autre.
Enfin, les contrôleurs d’accès doivent informer la Commission des acquisitions et fusions qu’ils réalisent.
Quelles sont les règles imposées par le DSA ?
La législation sur les services numériques (DSA) cherche de son côté à limiter la diffusion de contenus illicites (incitations à la haine ou à la violence, harcèlement, pédopornographie, apologie du terrorisme…) et la vente de produits illicites en ligne.
Afin de garantir ce principe, le DSA impose certaines obligations aux fournisseurs de services et notamment aux plateformes. Jusque-là, les procédures de notification et de retrait de ces contenus et produits étaient différentes d’un Etat membre à l’autre et ne permettaient pas d’agir efficacement, les messages ou vidéos haineux étant par exemple supprimés longtemps après avoir été largement diffusés.
Si le DSA ne remet pas en cause la responsabilité limitée des plateformes vis-à-vis des contenus et produits illicites qu’elles hébergent (notion d’hébergeur “passif”), celles-ci doivent en revanche proposer un outil permettant aux utilisateurs de les signaler. Une fois ce signalement effectué, elles ont alors l’obligation de retirer ces contenus et produits ou d’en bloquer rapidement l’accès.
Les plateformes doivent également coopérer avec des “signaleurs de confiance”. Il s’agit d’organes, associations ou individus labellisés au sein de chaque Etat en vertu de leur expertise et qui voient leurs notifications traitées en priorité.
Le DSA interdit par ailleurs de cibler des personnes avec des publicités en ligne basées sur leur religion, leurs préférences sexuelles, des informations sur leur santé ou leurs convictions politiques. La publicité ciblée est également interdite vis-à-vis des mineurs.
La publicité ciblée et la politique de modération des plateformes sont soumises à des obligations de transparence. Les plateformes doivent expliquer le fonctionnement de leurs systèmes de recommandation, qui renforcent la visibilité de certains contenus pour un utilisateur en fonction de ses intérêts personnels. Les très grandes plateformes en ligne et les très grands moteurs de recherche ont également l’obligation de proposer aux utilisateurs un système de recommandation alternatif non fondé sur leur profilage.
Les “pièges à utilisateurs” (“dark patterns”), qui conduisent notamment les internautes à effectuer des actions non souhaitées sur un site au bénéfice de ce dernier, sont interdits.
Les très grandes plateformes et très grands moteurs de recherche, eux, sont par ailleurs tenus d’évaluer et de prendre des mesures pour atténuer les risques qui découlent de l’utilisation de leurs services : diffusion de contenus illicites, effets négatifs sur la vie privée et familiale, atteintes à la liberté d’expression… Ils doivent réaliser chaque année cette analyse de réduction des risques sous le contrôle de la Commission européenne. La société peut notamment être tenue de faire la lumière sur ses algorithmes, y compris ses systèmes de recommandation de contenus. Le Centre européen pour la transparence des algorithmes (ECAT), inauguré le 18 avril 2023, assiste la Commission dans cette expertise technique.
Les places de marché en ligne, qui réunissent des vendeurs et des consommateurs comme Amazon ou Airbnb, doivent quant à elles afficher un certain nombre d’informations relatives aux produits et services qu’elles vendent, et détenir des informations permettant de tracer les vendeurs de biens et services illicites.
Le DSA impose à toutes les entreprises fournissant des services en ligne aux Européens de désigner un représentant légal dans au moins un pays de l’UE. Celui-ci doit par exemple, dans le cas des plateformes, obéir à toute demande de retrait de contenu ou de produit dangereux de la part de l’un des 27 Etats membres.
Un “coordinateur des services numériques” au sein de chaque Etat peut également enquêter, saisir la justice s’il constate des irrégularités et même sanctionner directement une entreprise dans certaines situations. Les 27 coordinateurs coopèrent au sein d’un “Comité” habilité à mener des enquêtes conjointes dans plusieurs Etats. Ils peuvent également recommander à la Commission européenne d’activer un mécanisme de crise lors d’événements particuliers pour lutter contre la désinformation en ligne.
Tandis que les Etats membres doivent eux-mêmes surveiller les petites plateformes, la Commission dispose quant à elle d’un pouvoir exclusif de supervision des très grandes plateformes en ligne et des très grands moteurs de recherche. Une nouvelle responsabilité financée par les plateformes elles-mêmes, en fonction de la taille de leur service et à hauteur de 0,05 % maximum de leur revenu net annuel mondial. Cette redevance, dont les règles ont été précisées le 2 mars 2023, a été perçue pour la première fois à l’automne 2023.
Plusieurs dispositions du DSA visent à contrebalancer les mesures de contrôle des contenus afin de garantir le respect de la liberté expression. L’auteur d’un contenu illicite doit par exemple être informé avant le retrait de ce dernier. Il peut contester gratuitement cette décision auprès de la plateforme (en plus de la justice) et demander une compensation financière à l’entreprise si celle-ci ne respecte pas le texte.
Si la législation sur les services numériques (DSA) vise à encourager la suppression des contenus illicites, les contenus préjudiciables (désinformation, canulars, manipulation…) licites ne sont pas concernés au même plan. Le texte a pour but de limiter leur propagation non par leur suppression, qui serait contraire à la liberté d’expression, mais en exigeant des plateformes qu’elles revoient les mécanismes (algorithmes) permettant leur amplification.
Ces contenus préjudiciables font également l’objet aujourd’hui d’une régulation européenne non contraignante, notamment via le code de bonnes pratiques contre la désinformation, signé par plusieurs grandes entreprises du numérique.
Quelles sont les sanctions prévues ?
Si elle estime qu’un contrôleur d’accès ne respecte pas ses obligations prévues par le DMA, la Commission peut lui indiquer des mesures concrètes à mettre en œuvre. Si celui-ci persiste, il peut se voir infliger des amendes allant jusqu’à 10 % de son chiffre d’affaires mondial total. En cas de récidive, cette amende peut atteindre 20 % de ce chiffre d’affaires.
En cas de non-respect systématique du DMA (règles enfreintes au moins trois fois en huit ans), la Commission peut ouvrir une enquête de marché et, si nécessaire, imposer des mesures telles que l’interdiction d’acquérir d’autres entreprises pendant une période donnée.
La Commission européenne est responsable de la bonne application du règlement par les contrôleurs d’accès qu’elle aura désignés, ainsi que des éventuelles sanctions. Les autorités nationales de concurrence des Etats membres peuvent quant à elles ouvrir des enquêtes sur des infractions présumées et transmettre leurs conclusions à l’exécutif européen.
Dans le cadre du DSA, chaque Etat membre doit déterminer les sanctions applicables dans la limite de 6 % du revenu ou du chiffre d’affaires annuel de la société (plafond abaissé à 1 % en cas d’informations incorrectes ou de refus d’enquête sur place). Les astreintes sont limitées à 5 % du chiffre d’affaires quotidien. Pour les très grandes plateformes, la Commission peut contrôler elle-même le respect de la législation. Les entreprises qui ne respecteraient pas les règles de manière répétée pourront être interdites.
Le 18 décembre 2023, la Commission européenne a ouvert une enquête contre le réseau social X (ex-Twitter). Celui-ci est accusé de manquer aux obligations du DSA en termes de modération des contenus, facilitant ainsi la prolifération de fausses informations et de contenus illicites.
Le 19 février 2024, c’est au tour de TikTok d’être visé par une enquête similaire. Le réseau social chinois est quant à lui suspecté de ne pas en faire suffisamment en matière de protection des mineurs, de transparence de la publicité, d’accès des chercheurs à ses données ainsi que pour limiter les risques d’addiction et de diffusion de contenus préjudiciables.
Le DSA ne fixe pas de délai pour clôturer ces procédures.
Infographies 
Actualité 
Revue de presse 
Podcasts 
Cartes et comparatifs 
Synthèse
1 commentaire
Je suis en total désaccord avec ce type d’initiative car, sous couvert de contrôle de fake news, il va certainement dériver de son objectif initial et réprimer la liberté d’expression et “canaliser” les opinions politiques (c’est a dire pro europe). Ceci est inadmissible et est contradictoire avec la liberté d’expression