Ressources Digital Markets Act (DMA)

L’European Digital Markets Act (DMA, en français « législation sur les marchés numériques ») est un règlement mis en place par l’Union européenne qui concerne particulièrement les géants de la technologie, tels que Google et Amazon, qui opèrent sur le territoire européen. Il a pour objectif de promouvoir la concurrence et l’innovation, tout en assurant une concurrence loyale pour les entreprises présentes sur le marché européen du numérique. Le DMA impose des mesures visant à accroître la transparence et le partage des données, à renforcer l’interopérabilité entre les services, et à garantir le choix des utilisateurs ainsi que la protection de leurs données personnelles.

En vertu du DMA, six entreprises technologiques majeures et influentes ont été définies comme contrôleurs d’accès à ce jour. Cela signifie qu’elles ont des responsabilités particulières au regard de la loi. Cependant, de nombreux acteurs secondaires dépendent aussi des plateformes et services de ces contrôleurs d’accès, par exemple dans le domaine de la publicité. Ces entreprises tierces doivent, elles aussi, se conformer à des obligations spécifiques, notamment en matière de protection des données et de gestion des consentements.

La législation de l’UE sur les marchés numériques (DMA) est officiellement entrée en vigueur le 1er novembre 2022, et la majeure partie de ses dispositions ont été appliquées à partir de mai 2023. Le 6 septembre 2023, la Commission européenne a défini des contrôleurs d’accès qui ont jusqu’au 6 mars 2024 pour se mettre en conformité avec les exigences du DMA.

Le DMA concerne les contrôleurs d’accès et les entreprises tierces qui interagissent avec eux, opérant dans l’Union européenne et dans l’Espace économique européen. Il s’applique aussi aux consommateurs résidant dans ces zones.

Le DMA vise spécifiquement les grandes entreprises qui possèdent et exploitent des plateformes et des services en ligne répondant aux critères de la Commission européenne : 1) une large audience ; 2) une grande influence sur le secteur du numérique et l’innovation ; 3) un rôle stratégique d’intermédiaires entre les entreprises et les consommateurs et 4) une position de force durable sur le marché. Ces acteurs, qualifiés de contrôleurs d’accès par le DMA, devront se plier à des règles strictes et feront l’objet d’une surveillance stricte.

Les six contrôleurs d’accès désignés par la Commission européenne (CE) dans le cadre du DMA sont actuellement les suivants :

• Alphabet (propriétaire de Google et d’Android) ;
• Amazon ;
• Apple ;
• ByteDance (propriétaire de TikTok) ;
• Meta (propriétaire de Facebook, Instagram, WhatsApp, etc.) ;
• Microsoft.

La liste des entités concernées par le DMA pourra évoluer. Bien que le DMA s’applique de manière directe aux contrôleurs d’accès, de nombreuses entreprises utilisent leurs plateformes et dépendent de leurs services. Ces entités tierces doivent bien saisir la loi et ses implications pour leurs activités, comme la nécessité d’obtenir un consentement explicite et valide des utilisateurs. Les contrôleurs d’accès communiqueront et imposeront leurs propres exigences à leurs partenaires et aux entreprises clientes afin de garantir la conformité avec le DMA.

La législation sur les marchés numériques (DMA) vise à créer des marchés numériques où la transparence et l’équité prédominent – pour ne pas léser les petits acteurs – tout en renforçant la compétitivité. Il a également vocation à protéger la vie privée des utilisateurs en leur donnant plus de choix.

Au fond, le DMA soutient le développement et l’innovation des petits acteurs au sein du marché numérique européen, leur permettant ainsi de rivaliser avec les grandes plateformes technologiques. C’est pourquoi il encadre le pouvoir des contrôleurs d’accès pour éviter qu’ils abusent de leur position.

Détenus et exploités par les contrôleurs d’accès, ces sites, logiciels et services sont indispensables aux activités numériques de millions d’entreprises et d’utilisateurs. Les SPE comprennent des moteurs de recherche en ligne, des systèmes d’exploitation, des navigateurs web, des assistants vocaux, des réseaux sociaux en ligne, des plateformes de partage de vidéos, etc. À ce jour, 22 SPE ont été identifiés par le DMA, mais cette liste pourra évoluer :

• 6 plateformes d’intermédiation (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store et Meta Marketplace) ;
• 4 réseaux sociaux (Facebook, Instagram, LinkedIn, TikTok) ;
• 3 services de publicité en ligne (Amazon, Google et Meta) ;
• 3 grands systèmes d’exploitation (Google Android, iOS et Windows PC OS) ;
• 2 grands services de communication (Facebook Messenger et WhatsApp) ;
• 2 navigateurs web (Chrome et Safari) ;
• 1 moteur de recherche (Google) ;
• 1 plateforme de partage de vidéos (YouTube).

Le DMA définit plusieurs responsabilités propres aux contrôleurs d’accès. Voici les principaux engagements qu’ils doivent respecter :

• Mettre fin aux comportements anticoncurrentiels ou déloyaux envers les petites entreprises.
• Fournir un accès aux données générées par leurs plateformes et services ou aux données collectées.
• Assurer l’interopérabilité et la portabilité des données pour les consommateurs et les entreprises.
• Éviter de privilégier leurs propres produits ou services, ou ceux de leurs partenaires.

Pour respecter leDMA, les acteurs désignés comme contrôleurs d’accès devront revoir leurs pratiques et leurs conditions d’utilisation. Cette tâche risque de demander des ressources considérables, tant juridiques que techniques, et nécessitera probablement un renforcement du personnel. Bien que cette transition puisse entraîner une hausse des coûts d’exploitation dans un premier temps, ces entreprises disposent généralement de moyens suffisants pour rentrer dans leurs frais à terme.

Le DMA prévoit également de lourdes amendes et d’autres sanctions pour les contrôleurs d’accès qui ne s’y conformeraient pas. Cela peut représenter une charge financière supplémentaire.

Pour les petites entreprises, le non-respect du DMA peut entraîner une exclusion des plateformes et des services proposés par les contrôleurs d’accès, et donc de graves difficultés financières car l’accès aux utilisateurs, aux données et aux sources de revenus telles que la publicité leur serait refusé.

Néanmoins, avec le temps, le DMA devrait favoriser l’innovation et la croissance des petites entreprises au sein de l’UE à la faveur de règles du jeu plus justes et d’un accès à davantage de données, à une audience élargie et à de nouvelles possibilités.

Les consommateurs et les utilisateurs de l’UE devraient profiter de prix plus concurrentiels et d’une innovation accrue dans les SPE. En outre, ils pourront aussi plus facilement changer de prestataire en faisant migrer leurs données personnelles. Ils auront une meilleure maîtrise de leurs applications et services numériques et pourront personnaliser leur expérience utilisateur. Leurs données seront mieux protégées et ils auront plus de choix concernant les autorisations d’utilisation de leurs informations personnelles.

Le consentement préalable pour l’accès aux données personnelles est essentiel en vertu de la législation sur les marchés numériques (DMA). La gestion des consentements est donc cruciale pour se conformer à cette réglementation. Les contrôleurs d’accès doivent garantir qu’ils obtiennent le consentement des utilisateurs dans les règles. De même, ils doivent s’assurer que les tiers utilisant leurs plateformes ou services peuvent attester de la conformité de la collecte des consentements.

Il est possible d’obtenir ce consentement au moyen d’outils déjà en place, tels que le mode consentement de Google (pour les plateformes Google). Une plateforme de gestion du consentement comme Usercentrics CMP permet de collecter un consentement utilisateur valide pour l’utilisation de cookies et de traceurs, de conserver ces données de manière sécurisée et de les notifier aux contrôleurs d’accès. Elle permet aussi aux utilisateurs de changer à tout moment leurs choix de consentement et garantit que les données relatives au consentement sont facilement accessibles aux autorités chargées de la protection des données, qui peuvent mener des audits de conformité.

Le DMA vient compléter un ensemble de dispositifs législatifs existants au sein de l’UE. Il est crucial de veiller à une bonne coordination pour assurer la conformité sans alourdir inutilement les obligations des entreprises.

Le DMA a été pensé pour compléter les règlements existants comme le RGPD, déjà bien établis. La Commission européenne, chargée de faire respecter le DMA, travaillera en étroite collaboration avec les autres autorités de réglementation, comme les autorités nationales de concurrence et de protection des données. Des consultations régulières et des dispositifs de facilitation de la coopération seront mis en place pour favoriser l’échange d’informations et assurer une harmonisation des pratiques répressives. Il s’agit également d’éviter les incohérences et autres chevauchements entre le DMA et d’autres cadres réglementaires.