Entrée en application du DMA : quels bénéfices pour les utilisateurs des plateformes numériques ?

Entrée en application du DMA : quels bénéfices pour les utilisateurs des plateformes numériques ?

Ce qu'il faut retenir

Le Règlement sur les marchés numériques (Digital Markets Act - DMA), entré en application le 2 mai 2023, a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés, notamment les GAFAM. Les pratiques, désormais prohibées, et les obligations leur incombant doivent bénéficier aux utilisateurs, entreprises et consommateurs, en limitant les pratiques abusives et en favorisant la concurrence.  La Commission européenne a publié la liste des contrôleurs d’accès le 6 septembre dernier.


Le Règlement sur les marchés numériques (Digital Markets Act - DMA) est entré en application le 2 mai 2023. (1) Ce texte a pour objectif de réguler le marché numérique, contrôlé par quelques grandes plateformes en situation de position ultra dominante, particulièrement les GAFAM (2), qui agissent en tant que “contrôleurs d’accès” et proposent des services de plateforme essentiels - tels que moteurs de recherche, réseaux sociaux, services de messagerie, ou places de marché par exemple.

Selon l’analyse d’impact réalisée par la Commission européenne, Windows (Microsoft) représente 78% du marché des systèmes d’exploitation et Android (Google) 72% des systèmes d’exploitation mobiles. Google Search est utilisé par 95% des utilisateurs et le navigateur Google Chrome par 60% des utilisateurs. Facebook détient 90% du marché des réseaux sociaux ! (3)

Bien que la position dominante ne soit pas répréhensible en tant que telle, appliquée à la situation des marchés numériques on constate un certain nombre d’abus impactant les entreprises utilisatrices de ces services (e-commerce et services en ligne), et les consommateurs. Le but est donc de rééquilibrer les rapports de force entre les différents acteurs du numérique afin de dynamiser la concurrence et l’innovation, et de baisser les barrières à l’entrée pour des sociétés tierces.

Le règlement définit une liste de pratiques prohibées et d’obligations incombant aux contrôleurs d’accès. Par ailleurs, la liste des contrôleurs d’accès et des services de plateforme essentiels qui seront soumis au DMA a été publiée par la Commission européenne le 6 septembre dernier.


1. Les pratiques prohibées et les obligations incombant aux contrôleurs d’accès

Le DMA identifie des pratiques prohibées et de nouvelles obligations auxquelles les contrôleurs d’accès, et les services de plateforme essentiels, devront se conformer. (art. 5 DMA)

    1.1 Les restrictions relatives aux traitements des données à caractère personnel des utilisateurs

Parmi ces pratiques prohibées et nouvelles obligations, on retiendra notamment des restrictions relatives aux traitements des données à caractère personnel des utilisateurs issues de leur utilisation de services de plateforme essentiels fournis par ces contrôleurs d’accès.

Ainsi, les contrôleurs d’accès devront s’abstenir :
    - de traiter, pour la fourniture de services de publicité en ligne, les données personnelles des utilisateurs finaux qui recourent à des services de tiers (publicité ciblée suivant un achat en ligne par exemple), utilisant des services fournis par le contrôleur d’accès,

    - de combiner les données personnelles provenant du service concerné avec les données personnelles provenant d’un autre service (service de plateforme essentiel ou autre) fourni par le contrôleur d’accès, ni avec des données provenant de services tiers,

    - de croiser les données provenant du service de plateforme essentiel concerné avec d’autres services fournis séparément par le contrôleur d’accès (croisement des données utilisateurs de Facebook et WhatsApp par exemple), et

    - d’inscrire les utilisateurs finaux à d’autres services du contrôleur d’accès dans le but de combiner des données à caractère personnel (services fournis par Google par exemple), sauf avec le consentement de l’utilisateur.

    1.2 Une plus grande liberté d’action des entreprises utilisatrices

Concernant les nouvelles obligations imposées aux contrôleurs d’accès, ceux-ci devront accorder aux entreprises utilisatrices une plus grande liberté dans leurs actions commerciales.

Les contrôleurs d’accès devront notamment offrir aux utilisateurs :

    - la possibilité pour les entreprises utilisatrices de proposer les mêmes produits ou services aux utilisateurs finaux sur une plateforme tierce ou sur leur propre canal de vente directe en ligne, à des prix ou conditions différents de ceux proposés sur le service du contrôleur d’accès (interdit sur Amazon Marketplace par exemple),

    - la possibilité pour les entreprises utilisatrices de communiquer et de promouvoir leurs offres gratuitement, y compris à des conditions différentes, auprès des utilisateurs finaux acquis grâce au service du contrôleur d’accès ou via d’autres canaux, et de conclure des contrats avec ces utilisateurs finaux, soit via la plateforme du contrôleur d’accès, soit via un autre canal,

    - la possibilité pour les utilisateurs finaux d’accéder à des contenus, abonnements, fonctionnalités ou autres, via les services du contrôleur d’accès, et de les utiliser en se servant de l’application de l’entreprise utilisatrice (obligation d’assurer l’interopérabilité de la plateforme du contrôleur d’accès),

    - la possibilité pour les utilisateurs finaux et les entreprises utilisatrices d’utiliser un service d’identification, un navigateur internet ou un service de paiement, autre que celui proposé par ce contrôleur d’accès (utilisation d’iOS ou d’Apple Pay par exemple).

De nouvelles obligations concernent la communication par le contrôleur d’accès des données relatives à la publicité en ligne par les entreprises utilisatrices :

    - le contrôleur d’accès est tenu de communiquer quotidiennement à chaque annonceur, à sa demande, des informations gratuites relatives à chaque publicité mise en ligne par l’annonceur. Ces informations portent sur le prix et les frais payés par l’annonceur, y compris les déductions et suppléments éventuels, pour chacun des services de publicité en ligne concernés fournis par le contrôleur d’accès, ainsi que la rémunération perçue par l’éditeur, sous réserve du consentement de celui-ci, et les mesures quantitatives à partir desquelles les prix, frais et rémunérations sont calculés.

Les mêmes informations sont communiquées quotidiennement à chaque éditeur, sous réserve du consentement de l’annonceur.

Enfin, les utilisateurs finaux et les entreprises utilisatrices pourront informer les autorités publiques  ou saisir les juridictions compétentes en cas de non-respect de ces prohibitions et/ou obligations par le contrôleur d’accès

Une liste d’obligations additionnelles peut être imposée aux contrôleurs d’accès après une évaluation conjointe de la Commission et du contrôleur d’accès concerné. (art. 6 DMA)


2. La liste des contrôleurs d’accès publiée par la Commission européenne

Pour être qualifié contrôleur d’accès au sens du règlement, une société doit notamment compter au moins 45 millions d’utilisateurs finaux mensuels actifs, dans l’Union européenne et fournir un service de plateforme essentiel à au moins 10.000 entreprises utilisatrices par an dans l’UE, avoir réalisé un chiffre d’affaires supérieur à 7,5 milliards d’euros par an au cours des trois derniers exercices, ou avoir atteint une capitalisation boursière supérieure à 75 milliards d’euros au cours du dernier exercice.

Le 6 septembre 2023, la Commission européenne a publié la liste des contrôleurs d’accès et des services de plateforme essentiels qui seront soumis au DMA.

Cette première liste comprend six contrôleurs d’accès : les sociétés Alphabet (Google), Apple, Meta (Facebook), Amazon, Microsoft et ByteDance (TikTok).

La Commission a identifié vingt-deux services de plateforme essentiels proposés par ces sociétés, organisés selon huit types d’activité numérique, à savoir :

a) Publicité en ligne : Google (Alphabet), Amazon, Meta (Facebook)
b) Navigateurs internet : Chrome (Alphabet), Safari (Apple)
c) Services d’intermédiation (places de marché) : Google Maps, Google Play, Google Shopping, Amazon Marketplace, App Store (Apple), Meta Marketplace
d) Services de communication électronique : WhatsApp (Meta), Messenger (Meta)
e) Systèmes d’exploitation : Android (Alphabet), iOS (Apple), Windows (Microsoft)
f) Moteurs de recherche : Google Search
g) Réseaux sociaux : Facebook, Instagram (Meta), LinkedIn (Microsoft), TikTok (ByteDance)
h) Plateformes de partage de vidéos : YouTube (Alphabet)

On remarque que des services proposés par ces sociétés n’ont pas été retenus dans cette première liste, tels que les services de messagerie Gmail (Google) et Outlook (Microsoft), le moteur de recherche Bing (Microsoft) ou les services de Cloud computing par exemple.

Les contrôleurs d’accès disposent d’un délai de 6 mois pour se mettre en conformité aux obligations imposées par le DMA. Pour ce faire, ils devront mettre en place un service de vérification de la conformité, indépendant des fonctions opérationnelles, et nommer un ou plusieurs responsables de la conformité. (art. 28 DMA) Le rôle de Compliance Officer s’étoffe encore un peu plus avec ces nouvelles obligations de conformité.

En cas de non-conformité au règlement, la Commission pourra infliger au contrôleur d’accès une amende pouvant atteindre 10% du chiffre d’affaires réalisé au cours de l’exercice précédent. L’amende pourra être doublée en cas de récidive. (art. 30 DMA)


    La finalité du DMA est de mettre un terme à la position dominante dont jouissent les quelques grandes sociétés qui contrôlent l’utilisation d’internet, et à la distorsion de concurrence avec les plus petits acteurs du numérique afin de restaurer un environnement concurrentiel plus sain sur le marché du numérique dans l’UE. La liste des contrôleurs d’accès pourra être revue par la Commission suivant l’évolution du marché. De nouvelles sociétés remplissant les critères de qualification pourront être ajoutées à cette liste. De même, une société qui ne répondrait plus aux critères de qualification pourra être supprimée de la liste des contrôleurs d’accès.

* * * * * * * * * * *

(1) Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur du numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (Règlement sur les marchés numériques) (Digital Markets Act - DMA)

(2) GAFAM pour Google (Alphabet), Apple, Facebook (Meta), Amazon et Microsoft

(3) Source: Impact Assessment of the Digital Markets Act - European Commission, 16.12.2020

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2023