Questions-Réponses 
Plus de 10 000 plateformes en ligne opèrent aujourd’hui sur le marché européen du numérique, estime la Commission européenne. Pourtant, seule une toute petite partie d’entre elles capterait l’essentiel de la valeur générée par ces activités.
S’ils ne sont pas directement cités, les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) et autres géants du secteur sont les principales cibles des deux textes proposés le 15 décembre 2020 par l’exécutif européen : le règlement sur les marchés numériques (Digital Markets Act, ou DMA) et le règlement sur les services numériques (Digital Services Act, ou DSA).
Le premier vise à mieux encadrer les activités économiques des plus grandes plateformes. Celles-ci sont qualifiées par la Commission de “contrôleurs d’accès” pour indiquer qu’elles sont devenues des passages obligés afin de bénéficier des avantages d’internet. Elles sont accusées de rendre les entreprises et les consommateurs particulièrement dépendants de leurs services et d’empêcher la concurrence des autres sociétés.
Le second, qui modernise une partie de la directive de 2000 sur le commerce électronique jusque-là inchangée, s’attaque quant à lui aux contenus (haineux, pédopornographiques, terroristes…) et aux produits illicites (contrefaits ou dangereux) proposés en ligne. Il cherche notamment à harmoniser les législations nationales déjà en place dans les Etats membres en la matière et a pour mot d’ordre : “ce qui est illégal hors ligne doit également être illégal en ligne”.
Le 12 octobre 2022, soit près de deux ans après la proposition de la Commission, le DMA a été publié au journal officiel de l’Union européenne. Il entrera en application le 2 mars 2023, le temps pour la Commission de traduire ses nouvelles règles par de nouveaux actes juridiques et d’installer le comité et le groupe d’experts qui l’assisteront.
Le DSA a quant a lui été publié le 27 octobre 2022. Il s’applique en deux temps : d’abord uniquement pour les très grandes plateformes en ligne et les très grands moteurs de recherche, quatre mois après que la Commission les aura désigné comme tels. Ensuite pour les autres plateformes, 15 mois après son entrée en vigueur (20 jours après la publication au JO de l’UE) soit le 16 février 2024.
Quels sont les acteurs visés ?
Les deux textes entrainent de nouvelles obligations pour les pays de l’UE et des entreprises qui y opèrent.
Toutefois, le DMA et le DSA ne ciblent pas exactement les mêmes acteurs. Pour le DMA, il s’agit exclusivement des grandes plateformes, celles qui “ont une forte incidence sur le marché intérieur, qui constituent un point d’accès important des entreprises utilisatrices pour toucher leur clientèle, et qui occupent ou occuperont dans un avenir prévisible une position solide et durable”, énumère le projet de règlement.
Plus précisément, une plateforme est définie comme “contrôleur d’accès” (entre une entreprise et un utilisateur) si elle cumule :
- une position économique forte : au moins 7,5 milliards d’euros de chiffre d’affaires réalisés dans l’Espace économique européen ou une capitalisation boursière / valeur marchande d’au moins 75 milliards d’euros avec une activité dans au moins trois Etats membres ;
- le contrôle d’un “service de plateforme essentiel” (moteur de recherche, réseau social, messagerie, place de marché en ligne…) utilisé par au moins 45 millions d’Européens par mois et au moins 10 000 professionnels par an dans l’Union ;
- le dépassement de ces seuils au cours des trois années précédentes (caractère “solide et durable” de sa position sur le marché).
Les sociétés répondant à ces critères doivent en informer la Commission au plus tard deux mois après que ces seuils ont été atteints. Dans le cas contraire, celle-ci peut procéder à des enquêtes pour les identifier comme contrôleurs d’accès. Elle peut aussi décider de qualifier de contrôleur d’accès une société selon des critères plus qualitatifs ou, à l’inverse, exempter une société qui obéirait en théorie à la définition du contrôleur d’accès. Et elle peut décider de réévaluer régulièrement ces critères pour s’adapter à l’évolution de l’économie numérique.
Le texte prévoit également des exemptions pour raisons de santé publique et de sécurité publique, tandis qu’une catégorie de “contrôleur d’accès émergent” permet d’imposer certaines obligations aux entreprises susceptibles de “[jouir] d’une position solide et durable dans un avenir proche”.
Dans le cadre du DSA en revanche, toutes les entreprises proposant des “services intermédiaires” aux utilisateurs européens sont concernées : fournisseurs d’accès à internet, services en nuage, messageries, places de marché, réseaux sociaux… Des obligations supplémentaires sont prévues pour les hébergeurs, dont les plateformes, et plus encore pour les “très grandes plateformes” (plus de 45 millions d’utilisateurs actifs chaque mois, soit 10 % de la population européenne) ainsi que les “très grands moteurs de recherche en ligne” (plus de 45 millions de consommateurs de l’UE). Là encore, ces seuils pourront être ultérieurement revus.
Quelles sont les nouvelles règles prévues par le DMA ?
DMA et DSA ne répondent pas aux mêmes défis. La législation sur les marchés numériques (DMA) doit limiter les nombreux avantages grâce auxquels les contrôleurs d’accès peuvent conserver une position dominante sur le marché. Face à leurs pratiques parfois déloyales, le texte vise à imposer un certain nombre d’obligations ex ante : aujourd’hui, les amendes sanctionnant les infractions au droit de la concurrence interviennent souvent tard, ce qui n’incite pas les sociétés à modifier leur comportement en profondeur.
Avec le DMA, les contrôleurs d’accès n’ont plus le droit de favoriser leurs propres services et produits par rapport à ceux des entreprises qui les utilisent, ou d’exploiter les données de ces dernières pour les concurrencer. Ils ne peuvent pas imposer les logiciels les plus importants (comme les navigateurs ou les moteurs de recherche par exemple) par défaut à l’installation de leur système d’exploitation. Désinstaller des logiciels ou applications préinstallés sur son ordinateur, son téléphone ou sa tablette devient également possible dans la plupart des cas.
Le règlement garantit aussi la possibilité pour une entreprise utilisatrice de promouvoir son offre hors d’une plateforme à laquelle elle est liée, ainsi que de conclure des contrats avec ses clients ou proposer ses propres services aux consommateurs indépendamment de cette dernière.
Afin de faire la promotion de ses produits et services concurrentiels, une entreprise, et notamment un vendeur de biens en ligne, peut demander l’accès aux données générées par ses activités (performance marketing…). Elle peut également obtenir les informations liées aux annonces publicitaires qu’elle finance sur une plateforme.
L’accord entre le Conseil et le Parlement européen du 24 mars 2022 a ajouté plusieurs nouveautés au projet initial. Comme le souhaitaient les eurodéputés, une plateforme ne peut associer les données personnelles d’un utilisateur à des fins de publicité ciblée qu’en cas de consentement explicite. D’autres dispositions limitant la publicité ciblée sont prévues par le DSA.
Les principaux services de messagerie (Whatsapp, Facebook Messenger, iMessage…) doivent également être interopérables avec leurs concurrents plus modestes. Un utilisateur pourra ainsi envoyer des messages, des fichiers ou passer des appels vidéo depuis une application de messagerie vers une autre.
Enfin, les contrôleurs d’accès devront informer la Commission des acquisitions et fusions qu’ils réalisent.
Et par le DSA ?
La législation sur les services numériques (DSA) cherche de son côté à limiter la diffusion de contenus illicites (incitations à la haine ou à la violence, harcèlement, pédopornographie, apologie du terrorisme…) et la vente de produits illicites en ligne.
Afin de garantir ce principe, le DSA impose certaines obligations aux fournisseurs de services et notamment aux plateformes. Actuellement, les procédures de notification et de retrait de ces contenus et produits sont différentes d’un Etat membre à l’autre et ne permettent pas d’agir efficacement, les messages ou vidéos haineux étant par exemple supprimés longtemps après avoir été largement diffusés.
Si le DSA ne remet pas en cause la responsabilité limitée des plateformes vis-à-vis des contenus et produits illicites qu’elles hébergent (notion d’“hébergeur passif”), celles-ci devront en revanche proposer un outil permettant aux utilisateurs de les signaler. Une fois ce signalement effectué, elles devront alors retirer ces contenus et produits ou en désactiver rapidement l’accès.
Les plateformes ont l’obligation de coopérer avec des “signaleurs de confiance”. Il s’agit d’organes, associations ou individus labellisés au sein de chaque Etat en vertu de leur expertise et qui verront leurs notifications traitées en priorité.
Le DSA interdit par ailleurs de cibler des personnes avec des publicités en ligne basées sur leur religion, leurs préférences sexuelles, des informations sur leur santé ou leurs convictions politiques. La publicité ciblée est également interdite vis-à-vis des mineurs.
La publicité ciblée et la politique de modération des plateformes sont soumises à des obligations de transparence. Les plateformes doivent notamment expliquer le fonctionnement de leurs systèmes de recommandation, qui renforcent la visibilité de certains contenus pour un utilisateur en fonction de ses intérêts personnels. Les très grandes plateformes en ligne et les très grands moteurs de recherche ont également l’obligation de proposer aux utilisateurs un système de recommandation alternatif non fondé sur leur profilage.
Les “pièges à utilisateurs” (“dark patterns”), qui conduisent notamment les internautes à effectuer des actions non souhaitées sur un site au bénéfice de ce dernier, sont interdits.
Les très grandes plateformes, elles, seront par ailleurs tenues d’évaluer et de prendre des mesures pour atténuer les risques qui découlent de l’utilisation de leurs services : diffusion de contenus illicites, effets négatifs sur la vie privée et familiale, atteintes à la liberté d’expression… Elles devront réaliser chaque année cette analyse de réduction des risques sous le contrôle de la Commission européenne.
Les places de marché en ligne, qui réunissent des vendeurs et des consommateurs comme Amazon ou Airbnb, devront quant à elles afficher un certain nombre d’informations relatives aux produits et services qu’elles vendent, et détenir des informations permettant de tracer les vendeurs de biens et services illicites.
Le DSA impose à toutes les entreprises fournissant des services en ligne aux Européens de désigner un représentant légal dans au moins un pays de l’UE. Celui-ci doit par exemple, dans le cas des plateformes, obéir à toute demande de retrait de contenu ou de produit dangereux de la part de l’un des 27 Etats membres.
Un “coordinateur des services numériques” au sein de chaque Etat pourra également enquêter, saisir la justice s’il constate des irrégularités et même sanctionner directement une entreprise dans certaines situations. Les 27 coordinateurs coopèreront au sein d’un “Comité” habilité à mener des enquêtes conjointes dans plusieurs Etats. Ils pourront également recommander à la Commission européenne d’activer un mécanisme de crise lors d’événements particuliers pour lutter contre la désinformation en ligne.
Tandis que les Etats membres doivent eux-mêmes surveiller les petites plateformes, la Commission dispose quant à elle d’un pouvoir exclusif de supervision des très grandes plateformes en ligne et des très grands moteurs de recherche, soit une trentaine de sociétés en principe. Une nouvelle responsabilité financée par les plateformes elles-mêmes, en fonction de la taille de leur service et à hauteur de 0,05 % maximum de leur revenu net annuel mondial.
Plusieurs dispositions du DSA visent à contrebalancer les mesures de contrôle des contenus afin de garantir le respect de la liberté expression. L’auteur d’un contenu illicite doit par exemple être informé avant le retrait de ce dernier. Il pourra contester gratuitement cette décision auprès de la plateforme (en plus de la justice) et demander une compensation financière à l’entreprise si celle-ci ne respecte pas le texte.
Si la législation sur les services numériques (DSA) vise à encourager la suppression des contenus illicites, les contenus préjudiciables (désinformation, canulars, manipulation…) licites ne sont pas concernés au même plan. Le texte a pour but de limiter leur propagation non par leur suppression, qui serait contraire à la liberté d’expression, mais en exigeant des plateformes qu’elles revoient les mécanismes (algorithmes) permettant leur amplification.
Ces contenus préjudiciables font également l’objet aujourd’hui d’une régulation européenne non contraignante, notamment via le code de bonnes pratiques contre la désinformation, signé par plusieurs grandes entreprises du numérique.
Quelles sont les sanctions prévues ?
Si elle estime qu’un contrôleur d’accès ne respecte pas ses obligations prévues par le DMA, la Commission peut lui indiquer des mesures concrètes à mettre en œuvre. Si celui-ci persiste, il peut se voir infliger des amendes allant jusqu’à 10 % de son chiffre d’affaires mondial total. En cas de récidive, cette amende peut aller jusqu’à 20 % de ce chiffre d’affaires.
En cas de non-respect systématique du DMA (règles enfreintes au moins trois fois en huit ans), la Commission peut ouvrir une enquête de marché et, si nécessaire, imposer des mesures telles que l’interdiction d’acquérir d’autres entreprises pendant une période donnée.
La Commission européenne est responsable de la bonne application du règlement par les contrôleurs d’accès qu’elle aura désignés, ainsi que des éventuelles sanctions. Les autorités nationales de concurrence des Etats membres peuvent quant à elles ouvrir des enquêtes sur des infractions présumées et transmettre leurs conclusions à l’exécutif européen.
Dans le cadre du DSA, chaque Etat membre doit déterminer les sanctions applicables dans la limite de 6 % du revenu ou du chiffre d’affaires annuel de la société (plafond abaissé à 1 % en cas d’informations incorrectes ou de refus d’enquête sur place). Les astreintes sont limitées à 5 % du chiffre d’affaires quotidien. Pour les très grandes plateformes, la Commission peut contrôler elle-même le respect de la législation. Les entreprises qui ne respecteraient pas les règles de manière répétée pourront être interdites.
Pour donner à l’Union européenne les moyens de faire respecter l’ensemble de ces règles, la Commission européenne pourrait procéder au recrutement de plus de 200 personnes et créer un centre européen de haut niveau sur la transparence des algorithmes.
Brèves 
Actualité 
Synthèse 
Cartes et comparatifs