D’ici le 6 mars 2024, les « contrôleurs d’accès » désignés en vertu du Digital Markets Act (DMA, article en anglais) – en français, la législation sur les marchés numériques – doivent pouvoir se conformer aux exigences de la réglementation pour leurs services de plateforme essentiels identifiés, faute de quoi ils risquent des amendes élevées et d’autres sanctions.
Cette date ne concerne pas uniquement les grandes entreprises technologiques. Les entreprises ayant des activités numériques dans l’Union européenne (UE) et/ou l’espace économique européen (EEE) doivent également se préparer au DMA afin de pouvoir continuer à utiliser les services de plateforme essentiels sans interruption.
Dans cet article, nous identifions les personnes concernées par le DMA ainsi que les obligations légales imposées par la réglementation. Puis nous conseillons et aidons les entreprises à se préparer à cette nouvelle législation.
Obligations légales imposées par le DMA
Si le DMA vise principalement les contrôleurs d’accès, qui doivent travailler activement pour respecter les obligations énoncées par la Commission européenne (CE), les utilisateurs professionnels ont aussi leur rôle à jouer. Cette réglementation concernera également les entreprises exerçant des activités numériques qui utilisent les plateformes et les services des contrôleurs d’accès pour collecter et traiter les données des utilisateurs de l’UE et/ou de l’EEE.
Les obligations du DMA en matière de protection des données ont une portée large, couvrant non seulement les plateformes, mais aussi toutes les données à caractère personnel collectées sur les plateformes. De plus, les contrôleurs d’accès ont souvent leurs propres conditions de service ou accords contractuels que les entreprises doivent respecter lors de l’utilisation de leurs plateformes. Ces textes peuvent s’aligner sur les exigences du DMA en matière de transparence et de protection des données. En outre, l’Union européenne et ses États membres ont établi d’autres lois sur la protection des données, comme le Règlement général sur la protection des données (RGPD).
Autrement dit, les entreprises qui utilisent des services de plateforme essentiels ne peuvent pas se permettre d’être des observateurs passifs et doivent assurer la conformité de leurs pratiques et politiques en matière de données avec le DMA. Il s’agit d’une étape indispensable pour toute entreprise souhaitant continuer à utiliser ces services sans complications juridiques ni perte d’accès à la plateforme.
S’il existe plusieurs obligations imposées aux contrôleurs d’accès dans le cadre du DMA, les suivantes peuvent avoir des conséquences directes pour les entreprises qui utilisent les services de plateforme essentiels et dictent la conduite à tenir en vertu du DMA.
Obtenir le consentement explicite des utilisateurs pour recueillir leurs données à caractère personnel
Le DMA met en place des contrôles stricts des bases légales sur lesquelles s’appuient les contrôleurs d’accès pour recueillir des données à caractère personnel, ce qui fait du consentement de l’utilisateur une composante essentielle du processus. L’article 2 (32) du règlement définit le consentement de l’utilisateur conformément à la définition du RGPD :
« “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. »
Le consentement en vertu du DMA doit donc répondre à quatre critères clés : il doit être libre, spécifique, éclairé et univoque.
Libre : Le consentement est une manifestation de volonté libre si la personne qui le donne a le choix de le faire, n’est pas contrainte, forcée ou manipulée pour le donner, et n’a pas à subir de conséquences négatives en cas de refus. Le consentement ne peut être une condition pour accéder à un service ou un produit, sauf si le traitement des données à caractère personnel est nécessaire au fonctionnement de ce service ou produit. Il doit être aussi simple de retirer son consentement que de l’accorder, ce qui permet aux personnes de changer facilement d’avis.
Spécifique : Le consentement n’est pas spécifique si quelqu’un accepte une collecte de données vague ou trop large. Un consentement spécifique signifie que les utilisateurs doivent accepter chaque finalité distincte de la collecte et du traitement de leurs données à caractère personnel, et avoir accès aux informations sur chacune d’elles pour prendre cette décision. Par exemple, si une entreprise souhaite traiter les données d’une personne à des fins publicitaires et analytiques, elle doit obtenir un consentement distinct pour chacune de ces finalités. Si une entreprise souhaite utiliser les données ultérieurement à d’autres fins, elle doit obtenir un nouveau consentement distinct qui porte spécifiquement sur cette nouvelle utilisation.
Éclairé : Pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Cela implique de comprendre quelles données seront collectées, pour quelles finalités spécifiques elles seront utilisées et qui y aura accès. Les utilisateurs doivent également être informés de leur droit de retirer leur consentement à tout moment et des conséquences d’un tel retrait.
Univoque : Il ne doit pas y avoir de marge d’interprétation : le consentement est sans ambiguïté si l’utilisateur a clairement accepté le traitement des données. En général, pour ce faire, l’utilisateur effectue une action, par exemple en cochant une case ou en cliquant sur un bouton indiquant « J’accepte les conditions générales ». Le silence, l’inactivité, le défilement de l’écran ou les cases présélectionnées ne sont pas considérés comme des consentements univoques.
Lorsque le consentement est conforme à toutes les conditions ci-dessus, il s’agit d’un acte explicite en vertu du DMA et du RGPD.
Quel est l’impact de l’obtention d’un consentement explicite pour les entreprises qui ont recours aux services de plateforme essentiels ?
Les entreprises qui collectent et traitent des données à caractère personnel d’utilisateurs dans l’UE et/ou l’EEE doivent recueillir le consentement explicite et valable des utilisateurs. Bien que les obligations, les amendes et les sanctions prévues par le DMA soient destinées aux contrôleurs d’accès, les entreprises ne peuvent pas se permettre d’ignorer leurs propres pratiques de collecte de données. Le fait de ne pas obtenir de consentement valable risque non seulement d’entraîner une perte d’accès aux services de la plateforme principale, mais aussi des sanctions en vertu du RGPD ou d’autres lois.
Restrictions à la combinaison de données pour le profilage
La législation sur les marchés numériques (DMA)prévoit des exigences strictes en matière de combinaison des données utilisateur sur les différentes plateformes utilisées par les contrôleurs d’accès et entre les plateformes détenues par un contrôleur d’accès et des plateformes tierces.
L’article 5 (2) du DMA stipule spécifiquement que les contrôleurs d’accès ne doivent pas :
- (a) traiter, dans le but de fournir des services de publicité en ligne, les données à caractère personnel des utilisateurs finaux qui utilisent des services tiers ayant recours aux services de plateforme essentiels du contrôleur d’accès ;
- (b) combiner les données à caractère personnel du service de plateforme essentiel concerné avec les données à caractère personnel de tout autre service de plateforme essentiel ou de tout autre service fourni par le contrôleur d’accès ou avec les données à caractère personnel de services tiers ;
- (c) utiliser les données à caractère personnel provenant du service de plateforme essentiel concerné dans d’autres services fournis séparément par le contrôleur d’accès, y compris d’autres services de plateforme essentiels, et vice versa ; et
- (d) inscrire les utilisateurs finaux à d’autres services du contrôleur d’accès afin de combiner les données à caractère personnel,
sauf si ce choix a été présenté à l’utilisateur final et que ce dernier a donné son consentement valable en vertu du RGPD.
L’objectif est ici double : 1) empêcher les contrôleurs d’accès d’obtenir un avantage déloyal en regroupant les données utilisateur provenant de plusieurs sources et 2) protéger la vie privée des utilisateurs.
Cette disposition limite la capacité des contrôleurs d’accès et des entreprises tierces à utiliser des données sur plusieurs plateformes pour profiler les clients pour la publicité ciblée. Le profilage des mineurs est déjà interdit en vertu du RGPD.
Si le DMA n’interdit pas totalement le profilage, les contrôleurs d’accès doivent être transparents sur leur procédé. Ils doivent fournir des informations auditées sur les données qu’ils recueillent, leur traitement, leur utilisation, leur durée de conservation à des fins de profilage et l’impact du profilage sur les services des contrôleurs d’accès.
Point important : les contrôleurs d’accès doivent également montrer comment ils informent les utilisateurs du profilage, comment ils demandent le consentement des utilisateurs et comment ils donnent aux utilisateurs la possibilité de refuser ou de retirer leur consentement pour la collecte et l’utilisation des données à des fins de profilage. Les données à caractère personnel des utilisateurs qui refusent ou retirent leur consentement ne peuvent pas être utilisées à des fins de profilage.
Quel est l’impact des restrictions à la combinaison des données en vue du profilage sur les entreprises utilisant les services de plateforme essentiels ?
Les entreprises n’ont pas le droit de combiner les données utilisateur de différentes plateformes – même si ces plateformes correspondent à des services tiers – à des fins de profilage, sans le consentement explicite de l’utilisateur pour ce type de partage de données spécifique.
Les entreprises doivent donc disposer de systèmes pour s’assurer que les données des utilisateurs collectées sur différentes plateformes restent cloisonnées. En substance, le DMA exige une approche plus transparente et plus séparée de la gestion des données pour toutes les parties prenantes.
Cette approche est d’autant plus importante compte tenu des exigences du DMA en matière d’interopérabilité. Les contrôleurs d’accès doivent ainsi permettre aux utilisateurs de basculer entre différents services, de consulter et transférer facilement leurs données, ainsi qu’assurer la compatibilité et l’intégration avec d’autres plateformes ou services. Les entreprises et les annonceurs qui ont accès aux données utilisateur depuis plusieurs plateformes ne peuvent pas combiner ces données pour le profilage sans le consentement valide des utilisateurs.
Risques associés au non-respect du DMA
Le DMA régule l’activité des contrôleurs d’accès et ne prévoit pas d’amendes pour les autres entreprises qui ne s’y conforment pas. Mais il existe bel et bien des répercussions possibles pour les entreprises qui ne gèrent pas les données utilisateur conformément au DMA.
La non-conformité peut entraîner un accès limité aux services de plateforme essentiels ou la suppression de ces services. Or, ce sont souvent des canaux cruciaux qui leur permettent d’atteindre des clients potentiels et de générer des ventes et des revenus publicitaires. Les entreprises peuvent perdre l’accès à leurs données et à leur audience, ce qui entraînerait une perte de revenus.
Autre conséquence non négligeable : l’atteinte à la réputation. Le fait de ne pas respecter les règles de protection des données du DMA peut entamer la confiance des clients, ce qui peut entraîner une baisse des taux de conversion, une perte de clientèle et une perte de revenus.
Comment les entreprises peuvent-elles se préparer au DMA ?
Comprendre le DMA et son impact sur les activités et les services peut aider les entreprises à allouer des ressources – du personnel ou un budget – pour assurer leur conformité en continu. Ainsi, les entreprises bénéficient à la fois de la sécurité juridique et de la confiance accrue des clients.
Pour se préparer au DMA, les entreprises doivent obtenir le consentement des utilisateurs et signaler les préférences des utilisateurs aux sites web ou aux applications de manière conforme au RGPD et à la directive ePrivacy.
Utilisez une plateforme de gestion du consentement pour obtenir un consentement valable de l’utilisateur
Pour obtenir un consentement utilisateur valable, il faut d’abord disposer d’une politique de confidentialité claire et facilement accessible (article en anglais) qui explique quelles données seront collectées, la façon dont les données seront utilisées et qui peut y avoir accès.
Les bandeaux de consentement aux cookies doivent en outre être rédigés dans un langage simple, qui indique quelles données sont collectées et pour quelle finalité. Ces bandeaux doivent être conçus pour obtenir un consentement actif (« opt-in ») manifesté librement, sans avoir recours à un langage trompeur ou à des techniques de manipulation.
Les entreprises qui recherchent une approche rationalisée de la gestion de ces exigences de consentement peuvent utiliser une plateforme de gestion du consentement (CMP) comme Usercentrics CMP. Usercentrics est un partenaire certifié du mode Consentement de Google (article en anglais). Cette plateforme de gestion du consentement aide les entreprises à recueillir et documenter le consentement valable des utilisateurs pour répondre aux exigences réglementaires. Elle permet aux entreprises de se conformer à la législation applicable, d’éviter les amendes et de conserver la confiance des clients à mesure qu’elles se développent. Usercentrics CMP s’intègre à de nombreux systèmes de gestion de contenu populaires, ce qui simplifie la configuration.
Vous souhaitez mettre en place une CMP pour vous préparer au DMA ? Commencez votre essai gratuit de 30 jours avec Usercentrics CMP.
Menez régulièrement des audits de protection des données et des contrôles de conformité
Servez-vous d’un calendrier d’audits internes réguliers comme filet de sécurité pour faire le suivi de votre conformité à mesure que le DMA et d’autres réglementations similaires évoluent. Ces audits doivent porter sur les analyses d’impact relatives à la protection des données pour évaluer en détail la façon dont les données utilisateur sont traitées, conservées et partagées en vertu du DMA.
Il est tout aussi important d’évaluer les pratiques en matière de données des partenaires et fournisseurs externes. S’ils traitent des données provenant des plateformes d’une entreprise, leurs politiques de traitement des données doivent aussi s’aligner sur les réglementations. Une défaillance de leur part peut entacher la relation commerciale et entraîner des conséquences juridiques. De nombreuses lois sur la protection des données exigent la conclusion de contrats avec les tiers chargés du traitement des données. Y sont exposées leurs responsabilités en matière d’accès aux données, ainsi que de protection et d’utilisation des données.
Passez au marketing basé sur le consentement
Les entreprises doivent réexaminer leurs stratégies marketing existantes en réponse aux dispositions strictes de la législation sur les marchés numériques (DMA) sur le profilage des utilisateurs et les restrictions en matière de reciblage. À la place du ciblage basé sur des données utilisateur combinées, les entreprises doivent adopter un marketing basé sur le consentement et explorer d’autres stratégies, y compris la publicité contextuelle.
En privilégiant le contexte plutôt qu’un ciblage spécifique à l’utilisateur, il est plus facile pour l’entreprise de respecter l’obtention du consentement explicite de l’utilisateur (pour l’utilisation des données) imposée par le DMA. Cela permet également aux entreprises de maintenir des stratégies publicitaires efficaces sans compromettre la confiance des utilisateurs. Le marketing basé sur le consentement (article en anglais) protège la vie privée des utilisateurs et offre une interaction plus transparente entre l’entreprise et le consommateur, ce qui peut consolider leurs relations.
Élaborez une approche robuste de la gestion des données
Les entreprises qui collectent des données utilisateur sur plusieurs plateformes doivent privilégier des stratégies de gestion des données qui protègent la vie privée des utilisateurs et sont conformes à différentes réglementations. Chaque étape du cycle de vie des données (collecte, conservation, utilisation, suppression) doit faire l’objet d’un examen minutieux pour s’assurer que les données à caractère personnel sont protégées et ne sont pas inutilement partagées avec des tiers ou toute autre personne/entreprise non autorisée. Les entreprises doivent également s’assurer que les données provenant de différentes plateformes ne sont pas combinées pour le profilage et la publicité ciblée.
Communiquer sur l’importance de la conformité avec le DMA au sein de l’entreprise
Impliquez toutes les parties prenantes de votre entreprise pour qu’elles soient sur la même longueur d’onde. C’est un bon moyen de se préparer au DMA en l’intégrant aux activités quotidiennes et de réduire tout risque de non-respect.
Les équipes en contact avec les utilisateurs (comme les équipes chargées du marketing, des ventes et de conseil à la clientèle) peuvent transmettre un message cohérent sur le respect du DMA pour renforcer l’engagement de l’entreprise en matière de protection de la vie privée des utilisateurs, de pratiques éthiques et de conformité légale.
Pour ce faire, les équipes internes ont besoin d’une formation complète pour comprendre comment être en règle au regard du DMA et disposer d’arguments précis à ce sujet pour les réunions avec les clients et les présentations commerciales.