Articles veille juridique

Plus de 6 ans après le RGPD, adoption des versions définitives des DMA et DSA par le Parlement européen

Sous-titre: Que va-t-il se passer pour les entreprises ?

Dans la lignée du Règlement général sur la protection des données (« RGPD ») et de la proposition de Règlement « ePrivacy », le Digital Markets Act [1]ou « Règlement sur les marchés numériques » (ci-après « DMA ») et le Digital Services Act [2] ou « Règlement sur les services numériques » (ci-après DSA ») visent à améliorer les règles régissant les services numériques dans l’UE. Pour autant, ils ont des objectifs et des cibles distinctes. Premier état des lieux non exhaustif sur ces textes.

Le DMA vise à encadrer davantage les activités économiques des grandes plateformes, qualifiées de « contrôleurs d’accès » car elles sont devenues des « passages obligés » pour les internautes dépendants de leurs services et détiennent bien souvent un monopole ou oligopole sur le marché, restreignant ainsi la concurrence.

La Commission européenne estime que bien qu’il y ait plus de 10 000 plateformes sur le marché européen du numérique, une toute petite partie d’entre elles capte l’essentiel du chiffre d’affaires réalisé, dont les fameux GAFAM (Google, Apple, Facebook, Amazon et Microsoft). Le but du texte est donc de contrôler davantage les agissements de ces entreprises ainsi que les fusions et acquisitions qu’elles réalisent. Ces entreprises « contrôleurs d’accès[3] » n’auront plus le droit de favoriser leurs propres services ou produits aux consommateurs, d’imposer des logiciels par défaut sous forme de ventes liées ou de rendre leur désinstallation difficile. L’interopérabilité devra être facilité entre les principaux services.

« Ce qui est illégal hors ligne doit également être illégal en ligne »

De son côté, le DSA met à jour et complète une partie de la directive n°2000/31/CE sur le commerce électronique. Le texte vise toutes les entreprises proposant des « services intermédiaires » aux utilisateurs européens (FAI, services dans le Cloud, réseaux sociaux…) En fonction de seuils en nombre d’utilisateurs actifs, les très grandes plateformes ayant le statut d’hébergeur supporteront des obligations supplémentaires.

Le principal cheval de bataille du texte est de renforcer la lutte en ligne contre les contenus illicites (incitations à la haine ou à la violence, harcèlement, pédopornographie, apologie du terrorisme……)[4] et les produits illicites (dangereux ou constituant des contrefaçons).

Actuellement, les procédures de notification et de retrait des contenus diffèrent d’un État membre de l’UE à l’autre et sont inefficaces, les contenus étant supprimés après avoir été largement diffusés, partagés, retweetés. Le DSA vise à harmoniser les législations nationales pour plus d’efficacité, en imposant notamment un outil de signalement aux utilisateurs et en coopérant avec des « signaleurs de confiance », entités qui démontreront une expertise et des compétences particulières aux fins de détection, d’identification et de notification des contenus illicites et qui seront indépendantes de toute plateforme en ligne. Ces « signaleurs » visent à mettre fin au débat sur la partialité des plateformes en ligne et leurs règles arbitraires de suppression de contenu, comme cela a pu être débattu récemment s’agissant de Facebook ou Twitter.

En outre, pour prévenir de potentielles atteintes à la liberté d’expression, le DSA prévoit des mesures de mitigation des risques. L’auteur d’un contenu jugé illicite devra être informé avant le retrait du contenu et pourra contester gratuitement cette décision auprès de la plateforme, voire demander une compensation financière à l’entreprise. La suppression des contenus préjudiciables tels que les « fake news » n’est pas à l’ordre du jour, cela étant contraire à la liberté d’expression. L’esprit du DSA est de limiter la visibilité et propagation de ces contenus en exigeant des plateformes qu’elles revoient leurs algorithmes.

Encadrement du profilage renforcé

Dans la lignée du RGPD, le DSA interdira en outre de cibler en ligne des personnes physiques avec des publicités sur la base de données personnelles touchant à la religion, aux préférences sexuelles, à la santé ou aux convictions politiques. La publicité ciblée sera également interdite vis-à-vis des mineurs et soumise à des obligations de transparence renforcée. Les très grandes plateformes en ligne et très grands moteurs de recherche auront l’obligation pour leur part de proposer un système de recommandation alternatif non fondé sur le profilage des utilisateurs.

Sanctions

Le DMA prévoit des amendes allant jusqu’à 20% du CA total mondial (en cas de récidive) pour les plateformes ne respectant pas leurs obligations, sans compter la possibilité pour la Commission d’ouvrir des enquêtes de marché et d’imposer des restrictions en matière de concurrence.

Si le DSA prévoit un plafond de sanction limité à 6% du revenu ou CA annuel de l’entreprise, il appartiendra au législateur de chaque État membre de fixer la sanction applicable.

Entrée en vigueur

Les textes ont été adoptés dans leur version définitive par le Parlement européen en juillet 2022 et doivent être à présent adoptés par le Conseil de l’Union européenne. Une fois signés, les textes entreront en vigueur vingt jours après leur publication au Journal officiel et s’appliqueront à l’ensemble des entreprises ayant une activité commerciale au sein de l’Union européenne.

Le DMA devrait prendre effet rapidement, au mois de mars 2023, tandis que le DSA s’appliquera en deux temps : pour les très grandes plateformes ou moteurs de recherche, quatre mois après leur désignation par la Commission et pour les autres plateformes, quinze mois après son entrée en vigueur (ou le 1er janvier 2024, la date la plus tardive étant retenue).

Marie-hélène Gostiaux

Mots-clés : DMA, DSA, GAFAM, protection de la vie privée, RGPD, Commission européenne, données à caractère personnel, sanction, publicité ciblée, retargeting, profilage, Parlement européen, monopole, concurrence

[1] Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques)

[2] Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à un marché intérieur des services numériques (Législation sur les services numériques) et modifiant la directive 2000/31/CE

[3] services d’intermédiation en ligne, moteurs de recherche en ligne, services de réseaux sociaux en ligne, services de plateformes de partage de vidéos, services de communications interpersonnelles non fondés sur la numérotation, systèmes d’exploitation, services d’informatique en nuage, services de publicité, y compris tous réseaux publicitaires, échanges publicitaires et autre service d’intermédiation publicitaire… des critères comprenant des seuils sont prévus.

[4] Dans le prolongement de la loi Avia contre la haine en ligne, adoptée en France en mai 2020.