Protection de la vie privée et conformité à l’ère du numérique : impact du DMA sur votre expérience en ligne

Chaque jour, nous créons plus de 300 millions de téraoctets de données. Le volume de données mondiales générées chaque année a augmenté de 23,71 % en 2023, et devrait augmenter dans les mêmes proportions en 2024 et 2025.

En fait, nous créons nous-mêmes beaucoup d’informations qui nous concernent, ainsi que nos activités en ligne. Les utilisateurs exigent de plus en plus de transparence de la part des entreprises sur leurs pratiques de collecte, de partage et d’utilisation de ces informations. Une enquête menée auprès d’environ 17 000 consommateurs dans le monde a montré que :

• 74 % estiment que les entreprises recueillent plus d’informations personnelles que nécessaire ;
• 64 % pensent que la plupart des entreprises ne sont pas transparentes sur la façon dont elles utilisent les informations personnelles ;
• 79 % sont plus susceptibles de faire confiance à une entreprise si elle explique clairement la façon dont elle utilise les données.

La collecte illimitée de données ouvre la porte à d’éventuelles violations de la protection de la vie privée. C’est pourquoi de très nombreux pays ont légiféré sur la protection des données et de la vie privée des utilisateurs.

Le Digital Markets Act (DMA) (en français, législation sur les marchés numériques), entré en vigueur le 1er novembre 2022, fait partie des dispositifs adoptés dans ce sens. L’objectif du DMA est de réglementer les grandes plateformes en ligne et de résoudre les problèmes liés à la concurrence, à la protection des consommateurs et à la protection de la vie privée dans le secteur numérique.

Dans cet article, nous abordons l’impact des exigences en matière de protection de la vie privée et de conformité du DMA sur l’expérience des utilisateurs en ligne. Nous présentons également les mesures que les utilisateurs peuvent prendre pour protéger davantage leurs données à caractère personnel.

Le DMA est un cadre réglementaire de l’Union européenne qui impose de nouvelles exigences aux grandes entreprises technologiques – qu’elle a désignées comme « contrôleurs d’accès » – pour promouvoir un environnement numérique juste et compétitif, prévenir les pratiques déloyales desdits contrôleurs, et protéger les droits et les intérêts des petites entreprises et des consommateurs en ligne.

Le DMA a un impact sur les utilisateurs de l’Union européenne (UE) et/ou de l’espace économique européen (EEE), ainsi que sur les entreprises qui répondent aux besoins des utilisateurs dans ces régions.

Les contrôleurs d’accès désignés en vertu du DMA sont :

• Alphabet (Google, YouTube, Android)
• Amazon
• Apple (iOS, App Store)
• ByteDance (TikTok)
• Meta (Facebook, Instagram, WhatsApp)
• Microsoft (LinkedIn, Windows PC OS)

La Commission européenne a également identifié 22 « services de plateforme essentiels » (SPE) détenus et gérés par les contrôleurs d’accès, qui sont concernés par le DMA. Il s’agit notamment des réseaux sociaux, des moteurs de recherche, des navigateurs, des systèmes d’exploitation et des services de messagerie comptant des millions ou des milliards d’utilisateurs.

Dans l’avenir, d’autres entreprises pourront intégrer la liste des « contrôleurs d’accès ». De même, d’autres services numériques pourront faire partie de la liste de SPE en temps utile.

Les services de plateforme essentiels couvrent un large éventail d’activités courantes des internautes. Les données qu’elles génèrent sont ensuite traitées par ces entreprises. Bon nombre d’utilisateurs ne sont pas conscients de la quantité et des types de données qu’ils génèrent, qui sont collectées et utilisées par les entreprises.

Publicités en ligne

Les plateformes de réseaux sociaux réalisent des chiffres d’affaires qui pèsent des milliards de dollars grâce à la publicité en ligne. Le DMA exige de ces plateformes qu’elles obtiennent le consentement explicite des utilisateurs résidant dans l’UE avant de traiter des données à caractère personnel à des fins publicitaires.

Autrement dit, les plateformes devront mettre en place des mécanismes de consentement clairs et conviviaux, et être transparentes quant à leurs pratiques de traitement des données. Il faudra aussi qu’elles informent les internautes qu’ils ont la possibilité de refuser ou de retirer leur consentement et qu’elles précisent la manière dont cela affectera leur expérience sur la plateforme.

Cela permettra aux utilisateurs de contrôler leurs données et de prendre des décisions éclairées concernant le consentement à la collecte de leurs données et à la manière dont elles peuvent être utilisées. Par exemple, les utilisateurs peuvent consentir à recevoir des publicités ciblées en fonction de leurs données. Dans le cas contraire, ils recevront des publicités qui peuvent ne pas les intéresser.

Combinaison de données à caractère personnel

La plupart des contrôleurs d’accès exploitent plusieurs plateformes principales qui sont concernées par le DMA. Il se peut que les utilisateurs en utilisent plusieurs. Le DMA interdit aux contrôleurs d’accès de combiner les données à caractère personnel collectées sur une plateforme avec les données à caractère personnel recueillies sur une autre, ou avec les données à caractère personnel collectées via un autre service fourni par ces contrôleurs ou par des tiers avec lesquels ils font affaire.

Cela signifie, par exemple, que Meta, qui possède Facebook, Instagram et WhatsApp (tous des SPE au sens du DMA), ne peut pas combiner les données à caractère personnel d’un utilisateur qui utilise deux plateformes – ou les trois – comme cela pourrait se faire à des fins de profilage.

Changer de plateforme

Le DMA exige des contrôleurs d’accès qu’ils mettent en place la portabilité des données : il s’agit d’un droit en vertu de plusieurs lois sur la protection des données. Si un utilisateur souhaite migrer vers une autre plateforme de réseaux sociaux, il peut demander ses données à caractère personnel dans un format utilisable et les transférer gratuitement vers l’autre plateforme. C’est la garantie d’une liberté de choix des meilleurs fournisseurs de services en fonction de ses besoins.

Concurrence loyale

Google Search est le seul moteur de recherche en ligne à être désigné comme un service de plateforme essentiel par le DMA à l’heure actuelle, ce qui peut engendrer des changements importants pour les utilisateurs, en fonction des changements que Google devra apporter.

L’un des changements importants concerne le classement des résultats de la recherche Google Search. Le DMA exige que les contrôleurs d’accès ne puissent pas privilégier leurs propres services par rapport à ceux des autres. Ainsi, lors de l’affichage des résultats d’une recherche de produits, Google n’aura plus le droit d’afficher ses propres produits (p. ex., Google Analytics) en priorité dans les classements de recherche par défaut. Les autres plateformes d’analyse (« analytics ») doivent être logées à la même enseigne.

Changer de moteur de recherche

Comme pour le droit des utilisateurs de réseaux sociaux de changer de plateforme, ils pourront passer d’un autre moteur de recherche à un autre. En vertu des exigences de portabilité des données du DMA, Google doit permettre aux utilisateurs de transférer leurs données de Google Search vers un autre moteur de recherche. Par exemple, l’historique de recherche ou les préférences d’un utilisateur sur Google Search peuvent être transférés vers un autre moteur de recherche tels que Bing ou DuckDuckGo, garantissant ainsi la continuité de l’expérience utilisateur.

Consentement explicite

Les contrôleurs d’accès devront obtenir le consentement explicite des utilisateurs sur tous les sites web et plateformes où ils affichent des publicités, qu’il s’agisse de leurs propres plateformes ou de plateformes tierces. Conformément au Règlement général sur la protection des données (RGPD), le DMA exige que le consentement ne puisse pas être accepté par le biais de cases pré-cochées ou de l’inactivité. Les contrôleurs d’accès et les entreprises qui utilisent leurs services pour faire de la publicité devront présenter un choix clair aux utilisateurs, généralement par le biais d’un bandeau de consentement aux cookies demandant l’autorisation de collecter certains types de données. Il existe également de nouvelles restrictions sur les fonctions liées à la publicité, telles que le profilage et le reciblage.

Transparence

La transparence va de pair avec le consentement explicite, car les utilisateurs doivent savoir à quoi ils consentent et connaître les options qui s’offrent à eux. En lieu et place d’informations enfouies dans de longues conditions générales, les entreprises du web devront avoir une politique de confidentialité et une politique de cookies faciles à comprendre et à consulter. Cela les aidera à prendre des mesures pour s’assurer que les utilisateurs ne se contentent pas de cliquer aveuglément sur « J’accepte », mais prennent une décision éclairée concernant leurs données.

Combinaison de données à caractère personnel

Le DMA vise également à renforcer la protection de la vie privée des utilisateurs en limitant la façon dont les services de plateforme essentiels partagent et utilisent les données qu’ils recueillent auprès des utilisateurs. Auparavant, si quelqu’un avait aimé une page consacrée aux « appareils de musculation » sur Facebook, il aurait peut-être reçu des publicités pour du matériel de fitness sur Instagram. Avec les règles DMA, Meta, qui possède à la fois Facebook et Instagram, ne peut pas partager librement des données entre les deux plateformes pour présenter des publicités sans l’autorisation explicite de l’utilisateur.

Le fait d’aimer une page « santé et bien-être » sur Facebook n’engendrera plus une vague de publicités sur Instagram pour les boissons protéinées, sauf si c’est ce que l’utilisateur a accepté. Cela permet de réduire les publicités personnalisées inattendues ou indésirables, ce qui offre plus de contrôle aux utilisateurs sur la façon dont leurs données sont utilisées.

Collecte de données

Les navigateurs peuvent recueillir diverses informations auprès des utilisateurs, notamment le système d’exploitation, l’adresse IP, l’historique des activités en ligne, les données de remplissage automatique, l’historique et les mots de passe.

Le DMA met l’accent sur la protection des données, ce qui signifie que Chrome et Safari, les deux navigateurs identifiés comme services de plateforme essentiels, doivent améliorer la protection des données pour les utilisateurs de l’UE. Les utilisateurs doivent être informés et donner leur consentement explicite avant la collecte des données à caractère personnel.

Concurrence loyale

L’une des principales obligations des contrôleurs d’accès en vertu du DMA concerne la concurrence loyale. Pour les navigateurs web tels que Chrome et Safari, cela signifie qu’ils doivent garantir un traitement équivalent pour tous les sites web et les services basés sur un navigateur.

Plug-ins ou extensions

Le DMA exige que les contrôleurs d’accès garantissent l’interopérabilité avec les services tiers. Cela peut nécessiter que Chrome et Safari modifient leurs systèmes pour permettre une intégration plus transparente avec des applications ou des extensions tierces.

Boutiques d’applications tierces

Le DMA vise à promouvoir une concurrence loyale et à répondre aux préoccupations concernant les pratiques monopolistiques. Actuellement, les plateformes comme iOS d’Apple exercent un contrôle strict sur la distribution d’applications, l’App Store étant le seul canal à partir duquel les utilisateurs peuvent télécharger des applications. Les utilisateurs d’Android peuvent installer des applications à partir de sources tierces (en plus de Google Play Store) par le biais d’un processus appelé « sideloading » (ou parachargement), mais cela soulève des problèmes de sécurité et peut rendre vulnérables les appareils.

Toutefois, le DMA pourrait favoriser l’apparition d’autres boutiques d’applications, offrant ainsi aux développeurs et aux utilisateurs plus de choix et plus de sécurité. Cela pourrait mettre un terme à la domination de certaines plateformes et créer un marché d’applications plus concurrentiel. Bien que les détails du dispositif réglementaire concernant les boutiques d’applications tierces dans le cadre du DMA restent à définir, la loi promeut la transition vers un écosystème d’applications plus ouvert et compétitif sur le marché européen.

Applications et paramètres préinstallés

Le DMA aborde le sujet des applications préinstallées et des paramètres par défaut, qui ont longtemps procuré aux systèmes d’exploitation un véritable avantage. Normalement, ces systèmes sont équipés d’applications déjà sélectionnées et de paramètres qui orientent les utilisateurs vers l’utilisation des produits et services propres au système d’exploitation. Parfois, les utilisateurs ne peuvent pas supprimer de leurs appareils une telle ou telle application.

Le DMA permettra aux utilisateurs de supprimer plus facilement les applications préinstallées qu’ils ne souhaitent pas et de modifier les paramètres par défaut qui pourraient les orienter vers un service particulier. Par exemple, les utilisateurs pourront remplacer Apple Maps par Google Maps en toute simplicité. Le DMA introduit également des « écrans multichoix » pour les services clés, ce qui permet aux utilisateurs de sélectionner leurs applications préférées lors de la configuration.

Messagerie sur plusieurs plateformes

Pour réduire les monopoles, promouvoir la concurrence et donner plus de choix aux utilisateurs, le DMA exige des contrôleurs d’accès qu’ils garantissent l’interopérabilité avec les services tiers. Cela signifie que les services associés exploités par des tiers doivent être en mesure de communiquer et de s’intégrer aux plateformes principales des contrôleurs d’accès.

Les exigences en matière d’interopérabilité ont de grandes conséquences pour les applications de messagerie WhatsApp et Messenger, qui sont des services de plateforme essentiels au sens du DMA. Les consommateurs qui utilisent des services de messagerie tiers tels que Signal ou Telegram pourront discuter avec les utilisateurs sur WhatsApp ou Messenger sans avoir besoin de comptes sur ces plateformes et vice versa.

WhatsApp et Messenger sont tous deux la propriété de Meta, qui semble prendre des mesures pour mettre en œuvre cette exigence. En septembre 2023, une fonctionnalité de « chat tiers »pour le moment non opérationnelle a été observée dans les versions de développement de WhatsApp. Cependant, cette exigence du DMA a suscité un débat au motif qu’elle pourrait avoir un impact sur le chiffrement de bout en bout de WhatsApp, gage de sécurité de l’application.

Bien que le DMA s’efforce de protéger les données à caractère personnel et de garantir la protection de la vie privée des utilisateurs, il est toujours judicieux pour vous, en tant qu’utilisateur, de prendre le contrôle de vos propres données et de prendre des mesures pour les protéger.

Le DMA exige que les plateformes ne puissent traiter vos données que pour des finalités spécifiques et si elles ont votre consentement explicite. La sélection réduit votre empreinte numérique et le risque d’utilisation abusive.

Avant de cliquer sur « J’accepte » ou « Autoriser » dans les conditions générales ou les bandeaux de consentement aux cookies, lisez ce que vous acceptez. Si un site web ne vous permet pas de prendre connaissance des technologies qui recueilleront vos données, de l’utilisation de ces dernières, des personnes qui y auront accès ou n’autorise pas les options de consentement granulaire, il n’est pas conforme.

Au fil du temps, les plateformes peuvent déployer de nouvelles fonctionnalités ou de nouveaux services qui nécessitent une collecte de données supplémentaire. En vertu de nombreuses lois sur la protection des données, les utilisateurs doivent à nouveau donner leur consentement si les conditions de collecte et d’utilisation des données changent, de sorte que vous ne partagez que ce qu’il vous plaît de partager.

Vous pouvez également planifier une révision régulière de vos paramètres de confidentialité sur les sites web ou les plateformes que vous utilisez le plus. Profitez-en pour révoquer les autorisations qui ne vous servent pas ou avec lesquelles vous n’êtes pas à l’aise.

Le fait de pouvoir transférer vos données garantit la compétitivité des plateformes. Si vous trouvez un service qui répond mieux à vos besoins, présente de meilleurs tarifs ou que vous appréciez ses pratiques en matière de protection des données, vous pouvez facilement changer sans perdre vos données ni encourir de pénalités.

Recherchez la fonction « Exporter des données » ou une fonction similaire dans les paramètres de votre compte. Les plateformes conformes au DMA et au RGPD ont l’obligation de proposer cette option. Une fois vos données exportées, vous pouvez les charger sur un autre service de votre choix prenant également en charge la portabilité des données.

Adoptez des services personnalisés qui répondent à vos besoins et préférences spécifiques. En optant pour des expériences sur mesure, vous pouvez profiter des avantages de la personnalisation sans compromettre votre vie privée.

Lorsque vous vous inscrivez ou modifiez les paramètres de votre compte, choisissez l’activation ou la désactivation de la personnalisation. Certaines plateformes permettent de basculer facilement entre des expériences « personnalisées » et « standard ». Sélectionnez l’option avec laquelle vous êtes le plus à l’aise en matière de collecte de données.

Les consommateurs sont plus sensibilisés que jamais et s’inquiètent de la protection de leurs données. Lors de la conception ou de la mise à jour de vos activités de traitement des données ou de la gestion du consentement, gardez à l’esprit que les utilisateurs sont plus attentifs, en particulier au contenu auquel ils consentent et aux autorisations qu’ils octroient. Ils sont moins susceptibles d’accepter de se restreindre et de ne pas pouvoir utiliser les plateformes ou les services qu’ils souhaitent et quand ils le souhaitent. Ils sont aussi plus sceptiques quant aux implications liées à l’utilisation de services plus « personnalisés ».