En Novembre 2022, l'UE a adopté la législation sur les marchés numériques (en anglais Digital Markets Act, abrégé en "DMA"), qui réglemente les principaux services de plateformes numériques tels que les moteurs de recherche en ligne, les navigateurs web, les services de publicité, les services de réseaux sociaux et les plateformes de partage de vidéos.
L'objectif principal de la loi sur les marchés numériques est de garantir et de maintenir la contestabilité des plateformes numériques, ainsi que l'équité dans les relations entre les fournisseurs de plateformes, les utilisateurs professionnels et les utilisateurs finaux. Pour atteindre ces objectifs, le DMA impose diverses obligations aux services de plateformes numériques, telles que l'obtention du consentement de l'utilisateur pour l'utilisation de données personnelles à des fins publicitaires. Le non-respect de ses obligations peut entraîner des amendes s'élevant à 10 % du chiffre d'affaires annuel d'une entreprise.
Dans cet article, nous vous aiderons à comprendre ce qu'est le DMA, quelles sont les obligations que la législation impose aux plateformes numériques, et comment elle s'articule avec la protection des donnés et le RGPD.
Qu'est-ce que la législation sur les marchés numériques (DMA) ?
Historique et contexte de la législation sur les marchés numériques (DMA)
Si les plateformes numériques telles que Google Search, l'App Store d'Apple et Facebook permettent aux entreprises d'entrer en contact avec les consommateurs dans toute l'Union européenne, il existe un risque que celles-ci abusent de leur situation de pouvoir et se livrent à des pratiques déloyales.
Par exemple, la Commission européenne a mené une enquête sur le droit de la concurrence à l'encontre d'Apple, car la société ne permettaient pas aux développeurs d'applications mobiles d'utiliser d'autres systèmes de paiement in-app que le sien, Apple Pay.
"Les paiements mobiles jouent un rôle d'une importance croissante dans notre économie numérique. Aux fins de l'intégration des marchés européens des paiements, il est essentiel que les consommateurs bénéficient d'un paysage des paiements concurrentiel et innovant Nous disposons d'éléments nous indiquant qu'Apple a restreint l'accès de tiers à la technologie clé nécessaire pour développer des solutions de portefeuilles mobiles concurrentes sur les appareils d'Apple. Dans notre communication des griefs, nous avons considéré, à titre préliminaire, qu'Apple pourrait avoir restreint la concurrence, au profit d'Apple Pay, sa solution propriétaire. S'il était confirmé, un tel comportement serait illégal au regard de nos règles en matière de concurrence."
- Margrethe Vestager, vice-présidente exécutive chargée de la politique de concurrence (source: Commission Européenne)
Bien que les règles existantes du droit de la concurrence de l'UE aient été appliquées à ces plateformes dans le passé, le régime du droit de la concurrence de l'UE n'était pas totalement efficace, et l'UE a donc décidé d'implémenter la législation sur les marchés numériques (DMA).
Le DMA n'est pas une réglementation autonome. Elle fait partie d'un programme réglementaire plus large de l'UE intitulé "Une Europe adaptée à l'ère du numérique", qui vise à réglementer et à imposer des règles et des restrictions dans l'espace numérique. Ce programme comprend plus de 15 propositions législatives, dont la loi européenne sur l'intelligence artificielle et la loi européenne sur la gouvernance des données.
Objectifs de la législation sur les marchés numériques (DMA)
L'objectif principal du DMA est de garantir que les plateformes numériques telles que les moteurs de recherche, les réseaux sociaux, les services de publicité et les app stores mobiles sont équitables et contestables pour les utilisateurs finaux et les entreprises.
Quels sont les services de plateforme concernés par le DMA ?
Lors de l'adoption du DMA, divers services de plateforme étaient susceptibles d'être assujettis a la législation, tels que :
- Les services d'intermédiation en ligne (ex : Amazon)
- Les moteurs de recherche (ex :Google)
- Les services de réseaux sociaux (ex : Facebook, Instagram)
- Les navigateurs web (ex :Google Chrome, Bing)
- Les assistants virtuels (ex :Siri, Alexa)
- Les services de plateformes de partage de vidéos (ex :Youtube)
- Les services de communication interpersonnelle indépendants du numéro (ex : Whatsapp)
- Les systèmes d'exploitation (ex :Windows, iOS)
- Les services d'informatique du Cloud (ex : Amazon Web Services)
- Les services de publicité en ligne fournis par une entreprise qui fournit l'un des services susmentionnés.
Depuis lors, les six "contrôleurs d'accès" sujets à la législation ont été annoncés. Pour accéder à la liste complète et à la définition de ce qu'est un contrôleur d'accès, continuez à lire ci-dessous.
Dates et échéances clés
Le DMA est entré en vigueur le 1er novembre 2022. Si certaines de ses dispositions sont devenues immédiatement applicables, les règles concernant la désignation des contrôleurs d'accès sont entrées en vigueur en mai 2023.
En vertu du DMA, les organisations doivent évaluer elles-mêmes si elles remplissent les critères quantitatifs énoncés dans la prochaine section de l'article. Si elles remplissent ces trois critères, elles sont tenues d'en informer la Commission européenne dans un délai de deux mois afin que celle-ci puisse les désigner comme contrôleur d'accès.
La Commission européenne dispose alors de 45 jours pour examiner la demande, et les obligations imposées aux contrôleurs d'accès deviendront applicables 6 mois après la désignation officielle, c'est à dire en mars 2024.
Que sont les contrôleurs d'accès ("gatekeepers") selon la législation sur les marchés numériques (DMA) ?
Le DMA ne s'applique pas à tous les services de plateformes numériques. Elle ne s'applique qu'aux contrôleurs d'accès (gatekeepers en anglais), qui sont considérés comme exerçant une "puissance économique considérable" et pour avoir "la capacité de mettre en relation de nombreux utilisateurs professionnels avec de nombreux utilisateurs finaux par l'intermédiaire de leurs services" (Source : Commission européenne).
Selon le DMA, une organisation sera considérée comme contrôleur d'accès si les trois critères suivants sont remplis :
1) L'organisation a la capacité d'avoir un impact significatif sur les marchés intérieurs de l'UE
Ce critère sera présumé satisfait si l'organisation a un chiffre d'affaires annuel du groupe dans l'UE d'au moins 7,5 milliards d'euros pour chacun des trois derniers exercices, ou si la capitalisation boursière moyenne de l'entreprise ou sa juste valeur marchande équivalente s'est élevée à au moins 75 milliards d'euros au cours du dernier exercice, et si elle fournit le même service de plateforme essentiel dans au moins trois États membres de l'UE.
2) Le service de plateforme essentiel est une passerelle importante permettant aux utilisateurs professionnels d'atteindre les utilisateurs finaux
Les critères sont présumés remplis si le service compte plus de 45 millions d'utilisateurs finaux actifs mensuels établis ou situés dans l'Union européenne et plus de 10 000 utilisateurs professionnels actifs annuels établis dans l'Union au cours du dernier exercice financier.
3) Le service de plateforme essentiel de l'organisation occupe une position (établie ou attendue) solide et durable
Ce critère est présumé rempli lorsque les seuils de nombre d'utilisateurs ont été atteints au cours de chacun des trois derniers exercices financiers.
Les contrôleurs d'accès en vertu de la législation sur les marchés numériques (DMA)
Le 6 septembre 2023, la Commission européenne a désigné six contrôleurs d'accès et 22 services de plateforme essentiels qu'ils fournissent :
- Alphabet : Google Maps, Google Play, Google Shopping, Youtube, Google Search, Chrome, Google Android, Google
- Amazon : Amazon Marketplace, Amazon,
- Apple : App Store, iOs, Safari
- ByteDance : TikTok
- Meta : Meta, Facebook, Instagram, WhatsApp, Messenger, Meta Marketplace
- Microsoft : LinkedIn, Windows PC OS
À compter de la date de l'annonce, ces six contrôleurs d'accès disposent d'un délai de six mois pour se conformer pleinement aux obligations du DMA pour chacun des services de plateforme essentiels qu'ils ont désignés.
Obligations des entreprises selon la législation sur les marchés numériques (DMA)
Les articles 5, 6 et 7 du DMA énoncent les obligations et les interdictions auxquelles doivent se conformer les contrôleurs d'accès. Par exemple, l'article 5, paragraphe 3, stipule que :
"Le contrôleur d'accès n'empêche pas les entreprises utilisatrices de proposer les memes produits ou services aux utilisateurs finaux au moyen de services d'intermédiation en ligne tiers ou de leur propre canal de vente directe en ligne à des prix ou conditions différents de ceux qui sont proposés par les services d'intermédiation en ligne du contrôleur d'accès"
Interdictions relatives à l'utilisation des données à caractère personnel
Le DMA tient compte du rôle essentiel des données personnelles dans le modèle économique des contrôleurs d'accès et impose, dans l'article 5, paragraphe 2, des interdictions concernant leur utilisation, notamment :
"Tout contrôleur d'accès est tenu de ne pas traiter, aux fins de la fourniture de services de publicité en ligne, les données à caractère personnel des utilisateurs finaux qui recourent à des services tiers qui utilisant des services de plateforme essentiels fournis par le contrôleur d'accès ;
Tout contrôleur d'accès est tenu de ne pas combiner les données à caractère personnel provenant du service de plateforme essentiel concerné avec les données à caractère personnel provenant de tout autre service de plateforme essentiel ou de tout autre service fourni par le contrôleur d'accès, ni avec des données à caractère personnel provenant de services de tiers.
(...)
Tout contrôleur d'accès est tenu de ne pas inscrire les utilisateurs finaux à d'autres services du contrôleur d'accès dans le but de combiner des données à caractère personnel."
Autres obligations
Selon le DMA, les contrôleurs d'accès ne doivent pas :
- Empêcher les utilisateurs de déposer des plaintes auprès des autorités publiques (article 5, paragraphe 6)
- Exiger des utilisateurs qu'ils utilisent certains services de la plateforme (par exemple, des systèmes de paiement, des services d'identification, des navigateurs web ou des services techniques spécifiques) (article 5, paragraphe 7) ;
- Exiger des utilisateurs qu'ils s'inscrivent ou s'abonnent à d'autres services de base de la plateforme pour pouvoir utiliser n'importe lequel de leurs services (article 5, paragraphe 8)
Conséquences du non-respect de la législation sur les marchés numériques (DMA)
La Commission européenne est seule habilitée à faire appliquer la législation sur les marchés numériques. Si elle constate qu'un contrôleur d'accès n'a pas respecté les dispositions du DMA, elle peut lui infliger une amende pouvant aller jusqu'à 10 % de son chiffre d'affaires annuel.
Si le contrôleur d'accès récidive dans un délai de huit ans, l'amende imposée par la Commission européenne peut aller jusqu'à 20 % du chiffre d'affaires du contrôleur d'accès concerné.
En outre, la Commission européenne peut également imposer des mesures correctives structurelles telles que l'obligation pour une organisation de céder certaines parties de ses activités si certains critères sont remplis.
Comment Didomi peut aider à se conformer à la législation sur les marchés numériques (DMA)
Le DMA montre que les entreprises opérant dans l'UE ne peuvent pas négliger la manière dont elles collectent et traitent les données personnelles.
Par exemple, les contrôleurs d'accès soumis à la législation doivent implémenter des mesures plus strictes afin de s'assurer du consentement des utilisateurs avant d'utiliser leurs données personnelles à des fins publicitaires. Google a par exemple d'ores et déjà mis en place de nouvelles exigences pour ses utilisateurs, auxquelles ces derniers doivent se conformer avant le 6 Mars 2024 pour continuer à utiliser l'intégralité des services de l'entreprise.
Nos équipes travaillent étroitement avec Google et sont à l'écoute du marché pour faire face aux challenges à venir. Contactez notre équipe et découvrez comment notre Consent Management Platform (CMP) peut vous aider à opérer en toute sécurité dans l'UE :
{{talk-to-an-expert}}
Foire à Questions (FAQ)
Qu'est-ce que la législation sur les marchés numériques (DMA) ?
La législation sur les marchés numériques (DMA) est une loi de l'UE qui établit des règles et des obligations pour les services de plateforme numériques essentiels tels que les moteurs de recherche, les plateforme de réseaux sociaux et les services Cloud afin de garantir leur équité et leur contestabilité.
Quels sont les objectifs de la législation sur les marchés numériques ?
Les principaux objectifs du DMA sont de garantir la contestabilité et l'équité des services de plateforme numérique.
Quand la législation sur les marchés numériques entre-t-elle en vigueur ?
Le DMA est entré en vigueur le 1er novembre 2022. Cependant, certaines obligations, comme celle d'informer la Commission européenne de la satisfaction des "critères du contrôleur d'accès", ne sont devenues applicables qu'en mai 2023.
Les contrôleurs d'accès désignés par la Commission européenne ont jusqu'à Mars 2024 pour rentrer en conformité avec le DMA.
Qui sont les contrôleurs d'accès selon la législation sur les marchés numériques (DMA) ?
Le DMA s'applique spécifiquement aux contrôleur d'accès, des plateformes numériques qui exercent un pouvoir économique considérable et mettent en relation de nombreux utilisateurs professionnels avec des utilisateurs finaux. Pour être désignée comme contrôleur d'accès, une organisation doit répondre à des critères quantitatifs spécifiques liés à sa taille et à sa portée.
Les 6 contrôleurs d'accès désignés par la Commission européenne sont Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft.
Quelles sont les conséquences du non-respect de la législation sur les marchés numériques (DMA) ?
Le non-respect du DMA peut entraîner des amendes allant jusqu'à 10 % du chiffre d'affaires annuel d'une entreprise. En cas de récidive dans les huit ans, l'amende peut atteindre 20 % du chiffre d'affaires annuel. La Commission européenne, qui veille à l'application du DMA, peut également imposer des mesures correctives structurelles, telles que la cession de certaines parties de l'entreprise.