Pour les annonceurs collaborant avec de grandes entreprises technologiques, les règles du jeu ont souvent été déséquilibrées. Le Digital Markets Act (DMA), un cadre réglementaire élaboré par la Commission européenne (CE), vise à rectifier le tir.
Ce règlement impose des restrictions et des obligations aux grandes entreprises technologiques, qualifiées de « contrôleurs d’accès » par la CE, pour accroître la transparence, améliorer les conditions de concurrence et assurer une meilleure protection des données des utilisateurs. Le DMA impacte les consommateurs en ligne de l’Union européenne (UE) ou de l’Espace économique européen (EEE), ainsi que les entreprises ayant des utilisateurs dans ces régions et utilisant les plateformes et services des contrôleurs d’accès.
En savoir plus sur les contrôleurs d’accès dans le cadre du DMA : Le rôle des contrôleurs d’accès en vertu de l’European Digital Markets Act
Il est crucial que les annonceurs comprennent comment le DMA les affecte pour continuer à atteindre efficacement leur public cible tout en respectant les lois sur la protection de la vie privée. Cet article couvre l’impact du DMA sur la publicité et donne des conseils pratiques aux annonceurs numériques pour qu’ils puissent respecter les réglementations sur la protection de la vie privée.
Rôle de la protection de la vie privée et de la conformité dans la publicité
La protection des données et la conformité réglementaire sont aujourd’hui des obligations incontournables dans le secteur de la publicité numérique, façonnant la perception que les clients ont des marques. Dans un contexte où les données personnelles générées augmentent sans cesse et où la sensibilisation des consommateurs progresse, il est plus important que jamais de respecter ces principes pour préserver la confiance et garantir une collecte et une utilisation responsables des données.
L’adoption de pratiques publicitaires conformes à la protection de la vie privée permet d’assurer le respect des exigences légales et contribue à renforcer la confiance des clients. Les annonceurs peuvent prouver aux clients leur engagement vis-à-vis de la protection de la vie privée en protégeant les données des utilisateurs et en respectant leurs préférences, contribuant ainsi à la longévité et au succès de leur marque.
Restrictions et obligations imposées aux contrôleurs d’accès pour la publicité en ligne
Les règles du DMA imposées aux contrôleurs d’accès ciblent deux objectifs. Elles visent à contrôler les grandes plateformes et leur influence, et à créer des opportunités équitables pour tous les annonceurs, quelle que soit leur taille. En parallèle, les exigences du Digital Markets Act permettent de mieux protéger les données des consommateurs, en veillant à ce que les annonceurs et les plateformes respectent des normes élevées de protection des données.
Communication des politiques de collecte et d’utilisation des données
Les contrôleurs d’accès doivent communiquer ouvertement les types de données qu’ils collectent, ainsi que la manière dont ils utilisent, partagent ou exploitent les données collectées sur leurs plateformes. Ils doivent obtenir le consentement explicite de l’utilisateur avant de collecter et de traiter des données personnelles. Ils doivent fournir aux annonceurs des informations claires sur les règles encadrant les placements publicitaires et les indicateurs qui influencent ces décisions.
Garantir un placement publicitaire et un classement de recherche équitables pour tous les annonceurs
Les contrôleurs d’accès doivent mener leurs activités en plaçant tous les annonceurs sur un pied d’égalité. Ils ne doivent pas privilégier leurs propres services et produits dans les classements de recherche, les placements publicitaires ou autre. Cela vise à cultiver un écosystème publicitaire plus compétitif et dynamique.
Fournir des indicateurs détaillés pour la vérification indépendante des performances des publicités
Les annonceurs doivent disposer des outils et des informations nécessaires à la vérification indépendante des performances de leurs publicités. Cela implique de fournir des données détaillées sur les affichages publicitaires, la fréquence et le public touché, afin que les annonceurs puissent évaluer le retour sur investissement.
Fournir un accès équitable aux plateformes pour les annonceurs dans tous les secteurs
Il est interdit aux contrôleurs d’accès de restreindre injustement l’utilisation de leurs plateformes ou services par les annonceurs. Les annonceurs doivent avoir les mêmes opportunités d’interaction avec des clients potentiels, indépendamment de leur taille ou de leur secteur d’activité. Cependant, les contrôleurs d’accès peuvent supprimer des tiers ne respectant pas les normes de protection des données de leurs plateformes.
Faciliter les campagnes sur plusieurs plateformes grâce à l’interopérabilité
Les contrôleurs d’accès sont encouragés à mettre au point des services capables de fonctionner sans difficulté avec d’autres plateformes. Cette mesure vise à permettre aux annonceurs de mener plus facilement des campagnes sur plusieurs plateformes et d’analyser les données sans être liés à un seul écosystème.
Respecter les lois sur la protection des données
Les contrôleurs d’accès doivent respecter des obligations strictes de protection des données en vertu du DMA et d’autres lois, comme le Règlement général sur la protection des données (RGPD) de l’UE, affectant, par extension, la manière dont les annonceurs peuvent utiliser ces plateformes. Cela implique d’obtenir et de signaler un consentement conforme et de protéger les données utilisateur afin que les annonceurs respectent eux-mêmes les lois sur la protection de la vie privée, et ne risquent pas d’exposer les contrôleurs d’accès à des violations lors de l’utilisation des plateformes de ces derniers.
L’impact du DMA sur les annonceurs
Avec l’introduction du DMA, les annonceurs entrent dans une nouvelle ère marquée par des règlements exigeant leur attention. Le DMA influence la manière dont les données sont collectées, leur quantité, les pratiques de profilage des utilisateurs et les principes de transparence et de traitement équitable. Les annonceurs doivent désormais s’adapter à ces changements pour conserver leur compétitivité dans le secteur tout en respectant les lois sur la protection de la vie privée.
S’adapter à des directives de collecte de données plus strictes
L’obligation des contrôleurs d’accès d’obtenir le consentement explicite des utilisateurs pour la collecte de données s’étend aux pratiques des annonceurs tiers, s’ils utilisent les plateformes des contrôleurs d’accès. Cela signifie que les annonceurs doivent obtenir le consentement des utilisateurs conformément aux règlements du secteur et aux règles de la plateforme. En cas de non-conformité, les annonceurs risquent non seulement de voir leurs publicités supprimées, mais aussi de subir des conséquences juridiques. Les amendes et les sanctions prévues par le DMA ciblent les contrôleurs d’accès, c’est un fait, mais les tiers risquent d’enfreindre d’autres lois, par exemple le RGPD, et d’encourir des sanctions à cet égard.
Comprendre les changements des pratiques de profilage des utilisateurs
Le DMA impose des restrictions plus strictes en matière de profilage des utilisateurs dans la publicité. Le consentement explicite des utilisateurs est obligatoire pour collecter leurs données personnelles. De plus, les contrôleurs d’accès et les annonceurs ne peuvent pas combiner les données utilisateur provenant de différentes plateformes ou divers services pour créer des profils. Par conséquent, les annonceurs doivent se tourner vers des pratiques axées sur la protection de la vie privée, ce qui pourrait se traduire par l’abandon des publicités personnalisées.
Comprendre les implications des politiques d’égalité de traitement
L’obligation des contrôleurs d’accès de traiter équitablement tous les annonceurs modifie la dynamique des placements publicitaires et des classements de recherche. Cette obligation met fin aux traitements préférentiels dont profitent les grands annonceurs et facilite la concurrence pour les entreprises au budget plus limité. Du fait de ce niveau de concurrence accru, il n’a jamais été aussi important que les annonceurs optimisent leurs campagnes pour se démarquer. Heureusement, les exigences de transparence introduites par le DMA aideront à obtenir des données opérationnelles essentielles pour une optimisation plus rapide et plus intelligente.
Vérifier les publicités indépendamment
Grâce à la mise en œuvre des exigences de la Législation sur les marchés numériques, les annonceurs peuvent davantage contrôler l’évaluation des performances de leurs campagnes publicitaires. Cependant, ils doivent également prendre des mesures proactives pour garantir la protection de la vie privée des utilisateurs et la sécurité des données, tout en accédant à ces données pour analyser les performances de leurs publicités. Ce changement pourrait augmenter les coûts d’exploitation et exiger une attention accrue quant à la gestion des données, avec un impact potentiel sur l’efficacité globale de leurs stratégies publicitaires. Simultanément, cela pourrait stimuler des innovations dans l’univers de la publicité numérique.
Se préparer à une gestion des données multi-plateformes accrue
Avec le Digital Markets Act, la tendance à l’interopérabilité entre les plateformes signifie que les annonceurs doivent désormais gérer l’analyse des données sur plusieurs plateformes. Cela crée un éventail de difficultés à l’égard de la protection de la vie privée des utilisateurs. Les différentes conditions générales de chaque plateforme peuvent compliquer le suivi de ce qui peut être fait avec chaque donnée. Cet aspect peut s’avérer épineux pour les annonceurs, car une mauvaise gestion des informations utilisateur depuis n’importe quelle plateforme peut entraîner des sanctions, non seulement pour ce service spécifique, mais également en vertu de lois plus larges sur la protection des données.
De plus, les opérations marketing actuelles impliquent souvent tout un écosystème d’outils, d’activités et de données connectés. Ainsi, s’assurer par exemple que les données utilisateur sont conservées en silos conformément aux exigences réglementaires peut devenir encore plus difficile.
Respecter des mesures strictes de protection des données
Les obligations des contrôleurs d’accès de respecter des lois strictes sur la protection des données modifient la manière dont les annonceurs interagissent avec ces plateformes. Les annonceurs doivent renforcer leurs mesures de protection des données pour éviter d’enfreindre les lois existantes, car une infraction pourrait entraîner de lourdes sanctions, notamment la perte de visiteurs, de données et de revenus, et éroder la confiance des clients.
Répercussions de la non-conformité pour les annonceurs
Pour ce qui est des amendes et autres sanctions en cas de non-conformité, le Digital Markets Act cible les contrôleurs d’accès. Mais cela ne signifie pas que les annonceurs ne sont pas concernés. Les contrôleurs d’accès ne risqueront pas de mettre en péril leur conformité réglementaire et disposent de leviers puissants pour s’assurer que les tiers veillent eux aussi à la conformité.
Les annonceurs doivent prouver qu’ils ont obtenu un consentement conforme pour la collecte et l’utilisation de données personnelles. S’ils ne le peuvent pas ou ne le font pas, les contrôleurs d’accès peuvent les empêcher d’accéder à leurs plateformes et services. Pas de publicités, pas de données, pas de revenus. Et il n’existe pas beaucoup d’autres plateformes ayant la taille et la portée des contrôleurs d’accès.
Atteinte à la réputation
Par ailleurs, le non-respect des exigences du DMA et des contrôleurs d’accès peut nuire gravement à la réputation d’un annonceur, entraînant une érosion de la confiance des clients. À long terme, un tel préjudice à la réputation peut avoir des effets d’ampleur et nuire à la croissance.
Comment les annonceurs peuvent-ils gérer avec succès les changements introduits par le Digital Markets Act
Bien que les nouvelles règles introduites par le DMA présentent des défis, les annonceurs peuvent prendre des mesures proactives pour assurer la conformité et maintenir de bonnes relations opérationnelles avec les contrôleurs d’accès, en toute confiance.
1. Obtenir le consentement explicite des utilisateurs
Avant toute collecte de données, les annonceurs doivent obtenir le consentement clair, éclairé et sans ambiguïté des utilisateurs pour la collecte et le traitement des données. Il faut disposer d’une politique de confidentialité claire, qui explique aux utilisateurs quelles données seront collectées, la façon dont les données seront utilisées et qui peut y avoir accès. Les annonceurs peuvent utiliser une plateforme de gestion des consentements (CMP) comme Usercentrics CMP afin d’obtenir un consentement utilisateur valide pour l’utilisation des données personnelles.
2. Adopter des pratiques axées sur la protection de la vie privée
Avec les dispositions plus strictes du DMA sur le profilage des utilisateurs, les annonceurs doivent passer à une approche axée sur la protection de la vie privée et se tourner vers un marketing basé sur le consentement, même si cela signifie s’éloigner de la publicité hautement ciblée. Cela implique de ne pas combiner les données utilisateur de différents services pour créer des profils, car cette pratique est interdite.
3. Améliorer les stratégies de gestion des données
Alors que la gestion de données multi-plateformes devient indispensable, les annonceurs doivent développer de solides stratégies de gestion de données. Ces stratégies doivent englober l’analyse des données sur plusieurs plateformes, tout en garantissant rigoureusement la protection de la vie privée des utilisateurs et la conformité aux différentes exigences réglementaires et opérationnelles. Les annonceurs doivent prêter une attention particulière à la manière dont les données sont collectées, stockées et utilisées sur différentes plateformes afin d’éviter toute mauvaise gestion des informations utilisateur et les sanctions potentielles qui en découlent.
4. Revoir et actualiser régulièrement les pratiques
Une rigueur constante est essentielle pour maintenir la conformité avec les lois sur la technologie et la protection de la vie privée, qui sont sans cesse en évolution et mises à jour au fil du temps. Les annonceurs doivent effectuer des audits périodiques sur la protection des données pour s’assurer que leurs politiques et processus de données respectent le Digital Markets Act, et doivent prendre des mesures correctives au besoin.
5. Demander un accompagnement sur le plan juridique
Des professionnels du droit et des experts en confidentialité qualifiés, comme un délégué à la protection des données, peuvent prodiguer des conseils sur mesure, évaluer les risques et aider les entreprises à se conformer aux lois sur la protection de la vie privée. Les annonceurs doivent consulter des experts pour garantir la conformité, protéger les données des utilisateurs et agir dans les limites des règlements sur la protection de la vie privée.
Nous aurions tort de sous-estimer la puissance et l’influence des grandes plateformes sur les petites entreprises et les consommateurs. Ces plateformes, connues sous le nom de « contrôleurs d’accès », ont la capacité de façonner le paysage numérique et d’avoir un impact sur des millions d’entreprises et de consommateurs. L’Union européenne a fait le constat de la nécessité de réglementer ces contrôleurs d’accès pour assurer une concurrence plus loyale et protéger les données et la vie privée des utilisateurs. Cela a conduit à la mise en œuvre du Digital Markets Act (DMA), la Législation sur les marchés numériques, dont le but est de créer un terrain de jeu plus équitable sur les marchés numériques européens.
Dans cet article, nous abordons le rôle des contrôleurs d’accès en vertu du Digital Markets Act (DMA). Nous nous penchons sur les critères de désignation des « contrôleurs d’accès », les obligations imposées à ces entreprises et les conséquences en cas de non-respect de cette nouvelle réglementation. Découvrez-en plus sur le DMA et sur les conséquences pour les entreprises européennes.
Qu’est-ce qu’un contrôleur d’accès au sens du DMA?
Le terme « contrôleurs d’accès », tel qu’employé par la Commission européenne (CE), désigne les grandes entreprises technologiques qui exploitent un ou plusieurs services de plateforme essentiels (CPS). Ces CPS sont identifiés par la CE en raison de leur nombre d’utilisateurs, du volume de données générées et traitées et de leur influence sur les marchés numériques et les consommateurs. Les 22 CPS comprennent des navigateurs web, des plateformes de réseaux sociaux, des assistants vocaux, des moteurs de recherche, des systèmes d’exploitation, des plateformes vidéo, etc.
En fournissant des services de plateforme essentiels, les contrôleurs d’accès jouent un rôle central de passerelles reliant les entreprises aux utilisateurs finaux. Ils collectent et gèrent d’énormes quantités de données utilisateur, contrôlent l’accès à des services populaires essentiels, et sont susceptibles d’utiliser leur position pour freiner la concurrence et l’innovation.
Les contrôleurs d’accès ont la capacité de façonner le paysage en ligne et ont un impact sur la réussite des entreprises du secteur. Grâce à leur vaste portée et à leur base d’utilisateurs, les contrôleurs d’accès sont devenus les acteurs clés du marché numérique.
Désignation des contrôleurs d’accès en vertu du Digital Markets Act
Les entreprises qualifiées de « contrôleurs d’accès » ont été choisies sur la base de critères spécifiques, et cette désignation a suscité des réactions diverses de la part de ces entreprises, allant de l’acceptation à un ferme désaccord. L’analyse du rôle et de l’influence des grandes entreprises technologiques sur les marchés numériques étant en cours, il est tout à fait possible que la liste des entreprises « contrôleurs d’accès » s’allonge ou change, tout comme la liste de leurs services de plateforme essentiels.
Critères de désignation en tant que contrôleurs d’accès
Pour être désignée comme « contrôleur d’accès » dans le cadre du DMA, une entreprise doit répondre à des critères qualitatifs et quantitatifs spécifiques.
Les critères qualitatifs sont les suivants : avoir un impact significatif sur les marchés numériques, fournir un ou plusieurs services de plateforme essentiels servant d’intermédiaire majeur entre les entreprises et les consommateurs, et avoir une position bien établie et durable sur le marché.
Les critères quantitatifs impliquent le respect de certains seuils financiers, tels qu’un chiffre d’affaires annuel d’au moins 7,5 milliards d’euros dans l’UE ou une évaluation du marché d’au moins 75 milliards d’euros. En outre, les « contrôleurs » doivent fournir les mêmes services de plateforme essentiels dans au moins trois États membres de l’UE et avoir un nombre significatif d’utilisateurs finaux et d’utilisateurs professionnels actifs.
Processus de désignation du contrôleur d’accès
La désignation des contrôleurs d’accès dans le cadre du DMA suit un processus rigoureux. La Commission européenne est chargée de désigner les contrôleurs d’accès en fonction des critères qualitatifs et quantitatifs décrits dans la législation. Les entreprises qui atteignent les seuils fixés sont qualifiées de contrôleurs d’accès, sauf si elles peuvent prouver le contraire.
Les contrôleurs d’accès ont la possibilité de contester aussi bien les critères quantitatifs que qualitatifs au moyen d’arguments et de preuves solides. La Commission peut également mener des enquêtes sur le marché pour évaluer la désignation des contrôleurs d’accès et prendre en compte des facteurs supplémentaires tels que le chiffre d’affaires, la capitalisation boursière, le nombre d’utilisateurs, les effets du réseau, etc.
Les contrôleurs d’accès désignés par la Commission européenne en vertu du Digital Markets Act
Les six sociétés actuellement désignées comme « contrôleurs d’accès » par la Commission européenne sont au nombre de cinq aux États-Unis et une en Chine. Toutes ont des activités et des utilisateurs en Europe, mais aucune n’a de siège social dans l’UE ou au Royaume-Uni. Les contrôleurs d’accès sont :
- Microsoft (propriétaire de LinkedIn et Windows PC OS)
- Meta (propriétaire de Facebook, Instagram, WhatsApp, etc.)
- Alphabet (propriétaire de Google, YouTube et Android)
- ByteDance (propriétaire de TikTok)
- Amazon (propriétaire d’Amazon Marketplace)
- Apple (propriétaire d’iOS et de l’App Store)
Suite à leur désignation le 6 septembre 2023, chaque contrôleur d’accès dispose d’un délai de six mois pour se conformer aux obligations du DMA pour leurs services de plateforme essentiels spécifiés. La date limite est le 6 mars 2024.
La Commission a également ouvert des enquêtes de marché pour évaluer plus en détail les contestations de Microsoft et d’Apple, qui ont remis en cause la désignation de certains de leurs services de plateforme essentiels (source : Financial Times, septembre 2023). Ces enquêtes visent à déterminer si les services en question doivent être désignés comme CPS. En outre, une enquête de marché a été lancée pour déterminer si l’iPadOS d’Apple doit être désigné comme un service de plateforme essentiel ou non.
Lire également: Réponses aux 30 questions les plus fréquentes sur le DMA
Étendue des activités des services de plateforme essentiels des contrôleurs d’accès
Les services de base des contrôleurs d’accès englobent un large éventail de plateformes et d’activités numériques, allant des transactions en ligne à la mise en relation d’individus par l’intermédiaire des réseaux sociaux. L’effet extraterritorial du DMA signifie que les « contrôleurs d’accès » sont soumis à ses réglementations quel que soit leur siège social, car ils offrent leurs services à des utilisateurs professionnels ou à des utilisateurs finaux établis ou situés dans l’UE et dans l’EEE.
Obligations imposées aux contrôleurs d’accès
Les contrôleurs d’accès ont un ensemble d’obligations qu’ils doivent respecter dans le cadre du DMA :
Traitement des données et publicité ciblée : Les contrôleurs d’accès doivent obtenir le consentement de l’utilisateur avant de collecter et de traiter des données à caractère personnel à des fins de publicité ciblée. Il leur est interdit de rassembler des données à caractère personnel provenant de différents services de plateforme essentiels ou d’utiliser des données à caractère personnel dans d’autres services fournis par le contrôleur d’accès.
Non-discrimination : Les contrôleurs d’accès ne doivent pas faire de discrimination à l’encontre des utilisateurs professionnels en les empêchant de proposer les mêmes produits ou services par le biais de services tiers ou de leurs propres canaux de vente en ligne directs à des prix différents ou dans des conditions différentes.
Liberté de communication et de promotion : Les contrôleurs d’accès doivent permettre aux utilisateurs professionnels de communiquer et de promouvoir leurs offres auprès des utilisateurs finaux acquis via les services de plateforme essentiels du contrôleur d’accès, qu’ils utilisent ou non les services du contrôleur d’accès. Cela favorise une concurrence loyale et garantit aux utilisateurs professionnels la liberté d’atteindre leur public cible.
Accès au contenu et aux services : Les contrôleurs d’accès doivent permettre aux utilisateurs finaux d’accéder au contenu, aux abonnements, aux fonctionnalités ou à d’autres éléments et de les utiliser via leurs services de plateforme essentiels en utilisant l’application logicielle d’un utilisateur professionnel tiers. Cela favorise le choix de l’utilisateur et empêche les contrôleurs d’accès de limiter l’accès à certains services.
Réclamations et résolution des litiges : Les contrôleurs d’accès ne doivent pas empêcher ou limiter la possibilité des utilisateurs professionnels ou des utilisateurs finaux de signaler des problèmes de non-conformité liés aux lois applicables aux autorités publiques, y compris aux tribunaux nationaux. Les contrôleurs d’accès sont encouragés à mettre en place des mécanismes de gestion des plaintes conformes à la loi pour répondre à toutes les préoccupations des utilisateurs.
Article connexe: Chronologie du DMA – une feuille de route pour la réglementation
Respect des obligations du Digital Markets Act
Il incombe aux contrôleurs d’accès de s’assurer qu’ils respectent les obligations énoncées dans le DMA, mais également celles envers les tiers connectés à leurs plateformes et services. Ils doivent établir une fonction de conformité indépendante de leurs fonctions opérationnelles. La fonction de conformité, dirigée par un responsable désigné, surveille et supervise la conformité du contrôleur d’accès avec le DMA. Le responsable de la conformité dispose de l’autorité et des ressources nécessaires pour accomplir ses tâches et signaler toute non-conformité à l’organisme de gestion du contrôleur d’accès.
Les contrôleurs d’accès ont six mois à compter de leur désignation – jusqu’au 6 mars 2024 – pour se conformer à l’ensemble des obligations en vertu du DMA. Au cours de cette période, ils ont l’obligation de présenter un rapport de conformité détaillé à la Commission européenne, décrivant la manière dont ils ont mis en œuvre les mesures nécessaires pour remplir leurs obligations. La Commission surveillera de près la mise en œuvre et la conformité des contrôleurs d’accès et pourra imposer de lourdes amendes en cas de non-conformité. Vous trouverez des détails ci-dessous.
Conséquences du non-respect du DMA
Les contrôleurs d’accès qui ne respectent pas les obligations énoncées dans le DMA s’exposent à de lourdes sanctions. La Commission européenne a le pouvoir d’infliger des amendes allant jusqu’à 10 % du chiffre d’affaires annuel mondial du contrôleur d’accès, ou jusqu’à 20 % en cas d’infractions répétées.
Outre les amendes, la Commission peut imposer des recours comportementaux ou structurels si un contrôleur d’accès commet des infractions systématiques au DMA. Ces recours peuvent inclure la cession de certaines unités opérationnelles ou une interdiction des acquisitions liées à des pratiques non conformes.
Le DMA permet également à la Commission d’ouvrir des enquêtes de marché pour évaluer la conformité et désigner des contrôleurs d’accès en fonction de leurs critères qualitatifs. Ces enquêtes sont menées pour garantir un marché numérique juste et compétitif et peuvent entraîner d’autres conséquences pour les contrôleurs d’accès ayant enfreint les dispositions du DMA.
Un rôle et un statut de contrôleurs d’accès évolutif en vertu du Digital Markets Act
Comme de nombreuses réglementations actuelles, en particulier celles relatives à la protection des données, le DMA est en cours de développement. Les activités commerciales, la technologie et les réflexions d’ordre juridique et réglementaire sont en constante évolution, et la réglementation doit donc évoluer avec elles. Les exigences du DMA peuvent changer, tout comme les droits des utilisateurs finaux, ainsi que la liste des contrôleurs d’accès et des services de plateforme essentiels.
Extension de la désignation du contrôleur d’accès
Le DMA permet à d’autres entreprises de soumettre des notifications à la Commission européenne pour être désignées comme « contrôleurs d’accès ». Ces entreprises peuvent évaluer elles-mêmes leur conformité aux seuils fixés et entamer des discussions avec la Commission. Cela permet de créer un environnement réglementaire dynamique et évolutif qui s’adapte à l’évolution du paysage numérique.
Conformité au DMA et confiance des utilisateurs
La conformité aux obligations prévues par le DMA est essentielle pour que les contrôleurs d’accès gardent la confiance des utilisateurs. En respectant les exigences du DMA, les contrôleurs d’accès peuvent montrer leur engagement en faveur d’un environnement numérique fiable et sécurisé. La conformité limite non seulement le risque d’amendes et de sanctions, mais elle favorise également une réputation positive et une viabilité à long terme sur le marché numérique. Cette confiance s’applique également aux entreprises tierces qui dépendent de l’accès aux plateformes et aux services des gatekeepers et qui respectent les obligations du DMA en matière de confidentialité des données.
Point essentiel : les contrôleurs d’accès façonnent un marché numérique équitable
Le rôle des contrôleurs d’accès dans le cadre du DMA est essentiel pour façonner le paysage numérique et garantir une concurrence loyale. Leurs décisions et leurs activités ont un impact direct sur des millions d’entreprises et de consommateurs. Le DMA vise à définir certaines règles pour limiter le pouvoir des contrôleurs d’accès et empêcher les pratiques déloyales sur le marché numérique.
Il incombe aux contrôleurs d’accès de se conformer au DMA dans un délai précis et de mettre en place des procédures de conformité pour assurer le suivi des actions menées et le maintien de la conformité. La désignation des contrôleurs d’accès en vertu du DMA est et continuera d’être un processus rigoureux mené par la Commission européenne. À mesure que les marchés numériques continuent d’évoluer, le DMA et la désignation des contrôleurs d’accès joueront un rôle crucial dans le maintien d’un environnement numérique équitable, compétitif et sûr.
Comment se préparer au DMA ?
Bien que le DMA s’applique aux contrôleurs d’accès, il est important que les petites entreprises opérant au sein de l’UE, de l’EEE et du Royaume-Uni comprennent la réglementation. En effet, elle aura un impact direct sur leur utilisation des grandes plateformes en ligne et des services détenus par les contrôleurs d’accès, tels que Facebook, LinkedIn ou Google Ads.
Les entreprises devront se conformer aux recommandations réglementaires appliquées par les fournisseurs de services numériques tels que Google et Amazon. Voici tout ce qu’il faut savoir pour vous conformer au DMA et aux nouvelles exigences en matière de protection de la vie privée que les grandes entreprises technologiques devraient imposer. Nous avons également dressé une courte liste d’étapes à suivre pour vous préparer au DMA.
- Tout d’abord, il convient de savoir quelles données votre entreprise recueille, la façon dont elles sont recueillies, utilisées et partagées, et avec qui. Passez en revue vos pratiques relatives au traitement des données, à l’obtention du consentement et à l’utilisation des données. Cela inclut tout accord de partage de données avec des tiers.
- Assurez-vous que votre site web ou votre application utilise les bons outils de protection de la vie privée, obtient le consentement de l’utilisateur de manière conforme et dispose d’une politique de confidentialité complète et détaillée.
- Envisagez de mettre en œuvre une solution de conformité en matière de protection de la vie privée qui vous permet de vous conformer au RGPD, comme la plateforme de gestion des consentements Usercentrics (CMP) ou le SDK pour applications mobiles.
Le CMP de Usercentrics aide les entreprises à se conformer aux exigences de la Législation sur les marchés numériques et aux règles imposées par les contrôleurs d’accès (gatekeepers) poursuivant la conformité au DMA. Notre solution est entièrement personnalisable et automatisée, et permet également de vous conformer au Règlement général sur la protection des données (RGPD), qui est la principale réglementation européenne en matière de confidentialité des données. La CMP Usercentrics vous aide à :
- recueillir et gérer le consentement des utilisateurs de manière sécurisée et conforme ;
- respecter les données et la vie privée des utilisateurs ;
- analyser les préférences de consentement des utilisateurs pour augmenter les taux de consentement.
Commencez votre essai gratuit de 30 jours
Restez au courant des actualités et des évolutions du DMA en vous abonnant à notre newsletter.
Abonnez-vous à la newsletterEn suivant nos conseils ci-dessus, préparez votre entreprise aux exigences du DMA et des contrôleurs d’accès, ainsi qu’aux changements à venir sur le marché numérique européen.
Article connexe: Comment assurer la conformité de votre site web avec le DMA ?
Clause de non-responsabilité :
Usercentrics (Cookiebot™) ne fournit pas de conseils juridiques, et les informations sont fournies uniquement à des fins pédagogiques. Nous recommandons toujours de faire appel à un conseiller juridique qualifié ou à des spécialistes de la protection de la vie privée en ce qui concerne les questions et les opérations relatives à la confidentialité et à la protection des données.
D’ici le 6 mars 2024, les « contrôleurs d’accès » désignés en vertu du Digital Markets Act (DMA, article en anglais) – en français, la législation sur les marchés numériques – doivent pouvoir se conformer aux exigences de la réglementation pour leurs services de plateforme essentiels identifiés, faute de quoi ils risquent des amendes élevées et d’autres sanctions.
Cette date ne concerne pas uniquement les grandes entreprises technologiques. Les entreprises ayant des activités numériques dans l’Union européenne (UE) et/ou l’espace économique européen (EEE) doivent également se préparer au DMA afin de pouvoir continuer à utiliser les services de plateforme essentiels sans interruption.
Dans cet article, nous identifions les personnes concernées par le DMA ainsi que les obligations légales imposées par la réglementation. Puis nous conseillons et aidons les entreprises à se préparer à cette nouvelle législation.
Obligations légales imposées par le DMA
Si le DMA vise principalement les contrôleurs d’accès, qui doivent travailler activement pour respecter les obligations énoncées par la Commission européenne (CE), les utilisateurs professionnels ont aussi leur rôle à jouer. Cette réglementation concernera également les entreprises exerçant des activités numériques qui utilisent les plateformes et les services des contrôleurs d’accès pour collecter et traiter les données des utilisateurs de l’UE et/ou de l’EEE.
Les obligations du DMA en matière de protection des données ont une portée large, couvrant non seulement les plateformes, mais aussi toutes les données à caractère personnel collectées sur les plateformes. De plus, les contrôleurs d’accès ont souvent leurs propres conditions de service ou accords contractuels que les entreprises doivent respecter lors de l’utilisation de leurs plateformes. Ces textes peuvent s’aligner sur les exigences du DMA en matière de transparence et de protection des données. En outre, l’Union européenne et ses États membres ont établi d’autres lois sur la protection des données, comme le Règlement général sur la protection des données (RGPD).
Autrement dit, les entreprises qui utilisent des services de plateforme essentiels ne peuvent pas se permettre d’être des observateurs passifs et doivent assurer la conformité de leurs pratiques et politiques en matière de données avec le DMA. Il s’agit d’une étape indispensable pour toute entreprise souhaitant continuer à utiliser ces services sans complications juridiques ni perte d’accès à la plateforme.
S’il existe plusieurs obligations imposées aux contrôleurs d’accès dans le cadre du DMA, les suivantes peuvent avoir des conséquences directes pour les entreprises qui utilisent les services de plateforme essentiels et dictent la conduite à tenir en vertu du DMA.
Obtenir le consentement explicite des utilisateurs pour recueillir leurs données à caractère personnel
Le DMA met en place des contrôles stricts des bases légales sur lesquelles s’appuient les contrôleurs d’accès pour recueillir des données à caractère personnel, ce qui fait du consentement de l’utilisateur une composante essentielle du processus. L’article 2 (32) du règlement définit le consentement de l’utilisateur conformément à la définition du RGPD :
« “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. »
Le consentement en vertu du DMA doit donc répondre à quatre critères clés : il doit être libre, spécifique, éclairé et univoque.
Libre : Le consentement est une manifestation de volonté libre si la personne qui le donne a le choix de le faire, n’est pas contrainte, forcée ou manipulée pour le donner, et n’a pas à subir de conséquences négatives en cas de refus. Le consentement ne peut être une condition pour accéder à un service ou un produit, sauf si le traitement des données à caractère personnel est nécessaire au fonctionnement de ce service ou produit. Il doit être aussi simple de retirer son consentement que de l’accorder, ce qui permet aux personnes de changer facilement d’avis.
Spécifique : Le consentement n’est pas spécifique si quelqu’un accepte une collecte de données vague ou trop large. Un consentement spécifique signifie que les utilisateurs doivent accepter chaque finalité distincte de la collecte et du traitement de leurs données à caractère personnel, et avoir accès aux informations sur chacune d’elles pour prendre cette décision. Par exemple, si une entreprise souhaite traiter les données d’une personne à des fins publicitaires et analytiques, elle doit obtenir un consentement distinct pour chacune de ces finalités. Si une entreprise souhaite utiliser les données ultérieurement à d’autres fins, elle doit obtenir un nouveau consentement distinct qui porte spécifiquement sur cette nouvelle utilisation.
Éclairé : Pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Cela implique de comprendre quelles données seront collectées, pour quelles finalités spécifiques elles seront utilisées et qui y aura accès. Les utilisateurs doivent également être informés de leur droit de retirer leur consentement à tout moment et des conséquences d’un tel retrait.
Univoque : Il ne doit pas y avoir de marge d’interprétation : le consentement est sans ambiguïté si l’utilisateur a clairement accepté le traitement des données. En général, pour ce faire, l’utilisateur effectue une action, par exemple en cochant une case ou en cliquant sur un bouton indiquant « J’accepte les conditions générales ». Le silence, l’inactivité, le défilement de l’écran ou les cases présélectionnées ne sont pas considérés comme des consentements univoques.
Lorsque le consentement est conforme à toutes les conditions ci-dessus, il s’agit d’un acte explicite en vertu du DMA et du RGPD.
Quel est l’impact de l’obtention d’un consentement explicite pour les entreprises qui ont recours aux services de plateforme essentiels ?
Les entreprises qui collectent et traitent des données à caractère personnel d’utilisateurs dans l’UE et/ou l’EEE doivent recueillir le consentement explicite et valable des utilisateurs. Bien que les obligations, les amendes et les sanctions prévues par le DMA soient destinées aux contrôleurs d’accès, les entreprises ne peuvent pas se permettre d’ignorer leurs propres pratiques de collecte de données. Le fait de ne pas obtenir de consentement valable risque non seulement d’entraîner une perte d’accès aux services de la plateforme principale, mais aussi des sanctions en vertu du RGPD ou d’autres lois.
Restrictions à la combinaison de données pour le profilage
La législation sur les marchés numériques (DMA)prévoit des exigences strictes en matière de combinaison des données utilisateur sur les différentes plateformes utilisées par les contrôleurs d’accès et entre les plateformes détenues par un contrôleur d’accès et des plateformes tierces.
L’article 5 (2) du DMA stipule spécifiquement que les contrôleurs d’accès ne doivent pas :
- (a) traiter, dans le but de fournir des services de publicité en ligne, les données à caractère personnel des utilisateurs finaux qui utilisent des services tiers ayant recours aux services de plateforme essentiels du contrôleur d’accès ;
- (b) combiner les données à caractère personnel du service de plateforme essentiel concerné avec les données à caractère personnel de tout autre service de plateforme essentiel ou de tout autre service fourni par le contrôleur d’accès ou avec les données à caractère personnel de services tiers ;
- (c) utiliser les données à caractère personnel provenant du service de plateforme essentiel concerné dans d’autres services fournis séparément par le contrôleur d’accès, y compris d’autres services de plateforme essentiels, et vice versa ; et
- (d) inscrire les utilisateurs finaux à d’autres services du contrôleur d’accès afin de combiner les données à caractère personnel,
sauf si ce choix a été présenté à l’utilisateur final et que ce dernier a donné son consentement valable en vertu du RGPD.
L’objectif est ici double : 1) empêcher les contrôleurs d’accès d’obtenir un avantage déloyal en regroupant les données utilisateur provenant de plusieurs sources et 2) protéger la vie privée des utilisateurs.
Cette disposition limite la capacité des contrôleurs d’accès et des entreprises tierces à utiliser des données sur plusieurs plateformes pour profiler les clients pour la publicité ciblée. Le profilage des mineurs est déjà interdit en vertu du RGPD.
Si le DMA n’interdit pas totalement le profilage, les contrôleurs d’accès doivent être transparents sur leur procédé. Ils doivent fournir des informations auditées sur les données qu’ils recueillent, leur traitement, leur utilisation, leur durée de conservation à des fins de profilage et l’impact du profilage sur les services des contrôleurs d’accès.
Point important : les contrôleurs d’accès doivent également montrer comment ils informent les utilisateurs du profilage, comment ils demandent le consentement des utilisateurs et comment ils donnent aux utilisateurs la possibilité de refuser ou de retirer leur consentement pour la collecte et l’utilisation des données à des fins de profilage. Les données à caractère personnel des utilisateurs qui refusent ou retirent leur consentement ne peuvent pas être utilisées à des fins de profilage.
Quel est l’impact des restrictions à la combinaison des données en vue du profilage sur les entreprises utilisant les services de plateforme essentiels ?
Les entreprises n’ont pas le droit de combiner les données utilisateur de différentes plateformes – même si ces plateformes correspondent à des services tiers – à des fins de profilage, sans le consentement explicite de l’utilisateur pour ce type de partage de données spécifique.
Les entreprises doivent donc disposer de systèmes pour s’assurer que les données des utilisateurs collectées sur différentes plateformes restent cloisonnées. En substance, le DMA exige une approche plus transparente et plus séparée de la gestion des données pour toutes les parties prenantes.
Cette approche est d’autant plus importante compte tenu des exigences du DMA en matière d’interopérabilité. Les contrôleurs d’accès doivent ainsi permettre aux utilisateurs de basculer entre différents services, de consulter et transférer facilement leurs données, ainsi qu’assurer la compatibilité et l’intégration avec d’autres plateformes ou services. Les entreprises et les annonceurs qui ont accès aux données utilisateur depuis plusieurs plateformes ne peuvent pas combiner ces données pour le profilage sans le consentement valide des utilisateurs.
Risques associés au non-respect du DMA
Le DMA régule l’activité des contrôleurs d’accès et ne prévoit pas d’amendes pour les autres entreprises qui ne s’y conforment pas. Mais il existe bel et bien des répercussions possibles pour les entreprises qui ne gèrent pas les données utilisateur conformément au DMA.
La non-conformité peut entraîner un accès limité aux services de plateforme essentiels ou la suppression de ces services. Or, ce sont souvent des canaux cruciaux qui leur permettent d’atteindre des clients potentiels et de générer des ventes et des revenus publicitaires. Les entreprises peuvent perdre l’accès à leurs données et à leur audience, ce qui entraînerait une perte de revenus.
Autre conséquence non négligeable : l’atteinte à la réputation. Le fait de ne pas respecter les règles de protection des données du DMA peut entamer la confiance des clients, ce qui peut entraîner une baisse des taux de conversion, une perte de clientèle et une perte de revenus.
Comment les entreprises peuvent-elles se préparer au DMA ?
Comprendre le DMA et son impact sur les activités et les services peut aider les entreprises à allouer des ressources – du personnel ou un budget – pour assurer leur conformité en continu. Ainsi, les entreprises bénéficient à la fois de la sécurité juridique et de la confiance accrue des clients.
Pour se préparer au DMA, les entreprises doivent obtenir le consentement des utilisateurs et signaler les préférences des utilisateurs aux sites web ou aux applications de manière conforme au RGPD et à la directive ePrivacy.
Utilisez une plateforme de gestion du consentement pour obtenir un consentement valable de l’utilisateur
Pour obtenir un consentement utilisateur valable, il faut d’abord disposer d’une politique de confidentialité claire et facilement accessible (article en anglais) qui explique quelles données seront collectées, la façon dont les données seront utilisées et qui peut y avoir accès.
Les bandeaux de consentement aux cookies doivent en outre être rédigés dans un langage simple, qui indique quelles données sont collectées et pour quelle finalité. Ces bandeaux doivent être conçus pour obtenir un consentement actif (« opt-in ») manifesté librement, sans avoir recours à un langage trompeur ou à des techniques de manipulation.
Les entreprises qui recherchent une approche rationalisée de la gestion de ces exigences de consentement peuvent utiliser une plateforme de gestion du consentement (CMP) comme Usercentrics CMP. Usercentrics est un partenaire certifié du mode Consentement de Google (article en anglais). Cette plateforme de gestion du consentement aide les entreprises à recueillir et documenter le consentement valable des utilisateurs pour répondre aux exigences réglementaires. Elle permet aux entreprises de se conformer à la législation applicable, d’éviter les amendes et de conserver la confiance des clients à mesure qu’elles se développent. Usercentrics CMP s’intègre à de nombreux systèmes de gestion de contenu populaires, ce qui simplifie la configuration.
Vous souhaitez mettre en place une CMP pour vous préparer au DMA ? Commencez votre essai gratuit de 30 jours avec Usercentrics CMP.
Menez régulièrement des audits de protection des données et des contrôles de conformité
Servez-vous d’un calendrier d’audits internes réguliers comme filet de sécurité pour faire le suivi de votre conformité à mesure que le DMA et d’autres réglementations similaires évoluent. Ces audits doivent porter sur les analyses d’impact relatives à la protection des données pour évaluer en détail la façon dont les données utilisateur sont traitées, conservées et partagées en vertu du DMA.
Il est tout aussi important d’évaluer les pratiques en matière de données des partenaires et fournisseurs externes. S’ils traitent des données provenant des plateformes d’une entreprise, leurs politiques de traitement des données doivent aussi s’aligner sur les réglementations. Une défaillance de leur part peut entacher la relation commerciale et entraîner des conséquences juridiques. De nombreuses lois sur la protection des données exigent la conclusion de contrats avec les tiers chargés du traitement des données. Y sont exposées leurs responsabilités en matière d’accès aux données, ainsi que de protection et d’utilisation des données.
Passez au marketing basé sur le consentement
Les entreprises doivent réexaminer leurs stratégies marketing existantes en réponse aux dispositions strictes de la législation sur les marchés numériques (DMA) sur le profilage des utilisateurs et les restrictions en matière de reciblage. À la place du ciblage basé sur des données utilisateur combinées, les entreprises doivent adopter un marketing basé sur le consentement et explorer d’autres stratégies, y compris la publicité contextuelle.
En privilégiant le contexte plutôt qu’un ciblage spécifique à l’utilisateur, il est plus facile pour l’entreprise de respecter l’obtention du consentement explicite de l’utilisateur (pour l’utilisation des données) imposée par le DMA. Cela permet également aux entreprises de maintenir des stratégies publicitaires efficaces sans compromettre la confiance des utilisateurs. Le marketing basé sur le consentement (article en anglais) protège la vie privée des utilisateurs et offre une interaction plus transparente entre l’entreprise et le consommateur, ce qui peut consolider leurs relations.
Élaborez une approche robuste de la gestion des données
Les entreprises qui collectent des données utilisateur sur plusieurs plateformes doivent privilégier des stratégies de gestion des données qui protègent la vie privée des utilisateurs et sont conformes à différentes réglementations. Chaque étape du cycle de vie des données (collecte, conservation, utilisation, suppression) doit faire l’objet d’un examen minutieux pour s’assurer que les données à caractère personnel sont protégées et ne sont pas inutilement partagées avec des tiers ou toute autre personne/entreprise non autorisée. Les entreprises doivent également s’assurer que les données provenant de différentes plateformes ne sont pas combinées pour le profilage et la publicité ciblée.
Communiquer sur l’importance de la conformité avec le DMA au sein de l’entreprise
Impliquez toutes les parties prenantes de votre entreprise pour qu’elles soient sur la même longueur d’onde. C’est un bon moyen de se préparer au DMA en l’intégrant aux activités quotidiennes et de réduire tout risque de non-respect.
Les équipes en contact avec les utilisateurs (comme les équipes chargées du marketing, des ventes et de conseil à la clientèle) peuvent transmettre un message cohérent sur le respect du DMA pour renforcer l’engagement de l’entreprise en matière de protection de la vie privée des utilisateurs, de pratiques éthiques et de conformité légale.
Pour ce faire, les équipes internes ont besoin d’une formation complète pour comprendre comment être en règle au regard du DMA et disposer d’arguments précis à ce sujet pour les réunions avec les clients et les présentations commerciales.
La conformité avec les réglementations en matière de protection des données concerne la plupart des entreprises ayant une présence en ligne. Toutefois, même des années après la mise en œuvre du RGPD en 2018, 97 % des sites web de l’UE ne respectent pas les exigences du RGPD en matière de confidentialité.
Avec l’entrée en vigueur du DMA en mars 2024, si votre entreprise opère au sein de l’Union européenne ou de l’Espace économique européen,ou si vous avez des clients qui y résident, il devient encore plus important de mettre votre site web en conformité avec les exigences de ce règlement.
Dans cet article, nous vous fournissons des conseils pratiques et des instructions étape par étape pour assurer la conformité de votre site web au DMA, notamment lorsqu’il s’agit de recueillir et de signaler un consentement valable.
Étape 1 : Déployez une plateforme de gestion du consentement (CMP)
L’une des principales exigences du Digital Markets Act (DMA) est l’obtention et la gestion du consentement des utilisateurs pour les activités de traitement des données. Pour garantir la conformité, vous devez intégrer une plateforme de gestion du consentement (CMP) robuste à votre site web.
Usercentrics est la meilleure plateforme de gestion du consentement (CMP) sur le Web offrant une intégration transparente dans les systèmes de gestion de contenu web (CMS) les plus populaires et d’autres plateformes de création de sites web.
Pour intégrer Usercentrics à votre site web, suivez ces étapes :
- Créez un compte Usercentrics et profitez d’un essai gratuit de 30 jours.
- Générez le script CMP et le texte de la politique de confidentialité adaptés à votre site web.
- Collez le script Usercentrics CMP dans le code source de votre site web. La zone désignée à cet effet dépend du CMS que vous utilisez.
- Enregistrez les modifications et publiez votre site web.
En intégrant Usercentrics CMP, vous pouvez facilement gérer les préférences de consentement des utilisateurs, fournir des informations transparentes sur les activités de traitement des données et assurer la conformité avec le RGPD, l’ePrivacy et le DMA.
Étape 2 : Personnalisez le bandeau de consentement aux cookies
Pour améliorer l’expérience utilisateur et se conformer aux exigences du DMA, il est important de personnaliser le bandeau de consentement aux cookies de votre site web.
Usercentrics propose des options de personnalisation complètes pour s’adapter au design et à la marque de votre site web, et pour optimiser votre interface utilisateur et votre messagerie. Procédez comme suit pour personnaliser le bandeau de consentement aux cookies :
- Accédez à votre compte Usercentrics, puis aux paramètres de personnalisation.
- Personnalisez l’apparence du bandeau, notamment les couleurs, les polices et la mise en page.
- Ajoutez un message clair et concis expliquant la finalité des cookies et des activités de traitement des données.
- Précisez les différents types de cookies utilisés sur votre site web et leurs finalités respectives.
- Assurez-vous que le mode consentement de Google est activé pour optimiser vos taux d’opt-in et obtenir des informations sur la conversion des annonces Google. Sur Usercentrics CMP, il est activé par défaut.
- Activez les contrôles nécessaires pour que les utilisateurs puissent gérer facilement leurs préférences de consentement.
En fournissant un bandeau de consentement aux cookies convivial et informatif, vous pouvez témoigner de votre engagement en faveur de la protection de la vie privée des utilisateurs et de la conformité avec le DMA.
Étape 3 : optimisez l’expérience utilisateur pour la gestion du consentement
La gestion du consentement doit être un processus transparent et intuitif pour les visiteurs de votre site web. Voici quelques conseils pour optimiser l’expérience utilisateur pour la gestion du consentement :
- Placez le bandeau de consentement aux cookies à un endroit bien en vue sur votre site web. Notez toutefois que vous ne pouvez pas bloquer ou empêcher les visiteurs d’accéder au contenu du site à moins qu’ils ne donnent leur consentement. Procéder de la sorte empêche en effet que le consentement soit volontaire et est interdit par un certain nombre de lois sur la protection des données.
- Utilisez un langage clair et concis pour expliquer la finalité et les implications des activités de traitement des données.
- Fournissez des contrôles granulaires permettant aux utilisateurs de choisir leurs préférences de consentement, comme autoriser ou refuser des types spécifiques de cookies.
- Déployez une interface facile à utiliser pour que les utilisateurs puissent modifier leurs préférences de consentement à tout moment. Assurez-vous que les options « Accepter » et « Refuser » soient tout aussi accessibles.
- Examinez et mettez régulièrement à jour votre politique de confidentialité pour vous assurer qu’elle reflète fidèlement vos pratiques de traitement des données. Vous pouvez utiliser le générateur de politique de confidentialité Usercentrics à cette fin.
En donnant la priorité à l’expérience utilisateur dans la gestion du consentement, vous pouvez favoriser la confiance de vos utilisateurs et les encourager à interagir avec votre site web tout en respectant le DMA.
Étape 4 : Surveillez et auditez la conformité à la législation sur les marchés numériques (DMA)
La conformité au DMA est un processus qui nécessite une surveillance et un audit continus. Voici quelques bonnes pratiques pour assurer une conformité continue :
- Effectuez des audits périodiques pour vous assurer que votre site web reflète fidèlement vos activités actuelles de traitement des données.
- Passez régulièrement en revue et mettez à jour vos paramètres de gestion du consentement, en fonction des changements apportés à la réglementation ou à vos pratiques de traitement des données.
- Conservez des dossiers sécurisés et détaillés sur le consentement de l’utilisateur, et soyez prêt à fournir une preuve de conformité si nécessaire.
- Tenez-vous informé de toute mise à jour ou orientation des autorités réglementaires concernant le DMA, d’autres lois pertinentes et la gestion du consentement.
En surveillant et en auditant vos efforts de conformité de manière proactive, vous pouvez rapidement résoudre tout problème potentiel et témoigner de votre engagement en faveur de la protection des données.
Recevez gratuitement notre check-list DMA complète: Ce que vous devez savoir pour vous conformer à la législation sur les marchés numériques (DMA)
Derniers conseils aux propriétaires de sites web afin de se conformer à la législation sur les marchés numériques (DMA)
Assurer la conformité au DMA est essentiel pour les propriétaires de sites web,les administrateurs de sites web, les équipes marketing, et plus encore, quel que soit le type de site web ou de plateforme CMS que vous utilisez.
En suivant les conseils pratiques et les instructions étape par étape décrits dans cet article, vous pouvez vous assurer que la gestion des consentements de votre site web est conforme au DMA.
N’oubliez pas de tirer parti de Usercentrics CMP pour une intégration transparente et une gestion efficace des consentements. Restez proactif et donnez la priorité à la protection de la vie privée des utilisateurs pour établir une relation de confiance avec votre public tout en respectant les exigences du DMA.
Si vous ne disposez pas d’équipe juridique interne pour guider votre parcours de mise en conformité avec le DMA, demandez des conseils juridiques spécialisés. Le réseau mondial de partenaires de Usercentrics est un bon point de départ si vous cherchez des services juridiques et des partenaires de conseil adaptés à votre projet numérique.
La dynamique des entreprises numériques devient toujours plus complexe, les grandes entreprises technologiques détenant un pouvoir de marché important et suscitant des inquiétudes en matière de concurrence loyale et de protection de la vie privée des utilisateurs. Pour résoudre ces problèmes, l’Allemagne et l’Union européenne ont toutes deux adopté une législation visant à réglementer les marchés numériques.
En Allemagne, la Gesetz gegen Wettbewerbsbeschränkungen (GWB), alias la loi allemande contre les restrictions à la concurrence , est en place depuis plus d’un demi-siècle, bien qu’elle ait été modifiée à de nombreuses reprises, la dernière fois en juillet 2023. Plus récemment, la Commission européenne a promulgué le Digital Markets Act (DMA) – en français, la législation sur les marchés numériques – dans le cadre de ses efforts visant à créer un écosystème numérique équitable et compétitif. Il a été adopté en 2022.
Présentation de la loi allemande contre les restrictions à la concurrence (GWB)
La loi allemande contre les restrictions à la concurrence (en anglais), également connue sous le nom de GWB, est un cadre juridique complet qui vise à prévenir les comportements anticoncurrentiels et à garantir une concurrence commerciale loyale en Allemagne. En vigueur depuis les années 1950, elle a fait l’objet de 11 amendements pour s’adapter à l’évolution du paysage commercial, notamment l’évolution vers des produits et services plus numériques. La GWB couvre divers aspects du droit de la concurrence, y compris les fusions et acquisitions, les abus de pouvoir de marché et les ententes.
Objectifs de la loi allemande contre les restrictions à la concurrence
Les principaux objectifs de la loi allemande contre les restrictions à la concurrence (GWB) sont les suivants : promouvoir une concurrence loyale, protéger les intérêts des consommateurs et empêcher les entreprises dominantes d’abuser de leur pouvoir de marché. Elle vise à créer des conditions de concurrence équitables pour les entreprises et à prévenir les pratiques anticoncurrentielles qui pourraient nuire aux consommateurs ou étouffer l’innovation. La loi allemande contre la concurrence déloyale (UWG) vise également à garantir que les entreprises respectent les règles de concurrence et s’exposent à des sanctions en cas de violation.
Dispositions clés de la loi allemande contre les restrictions à la concurrence
La GWB prévoit plusieurs dispositions qui réglementent divers aspects du droit de la concurrence. Celles-ci sont axées sur le contrôle de la position dominante sur le marché.
Contrôle des fusions
La GWB fournit un cadre pour le contrôle et le règlement des fusions et acquisitions. Le but : prévenir une consolidation excessive et la création de positions dominantes sur le marché qui pourraient nuire à la concurrence. Les entreprises sont tenues de notifier aux autorités compétentes tout projet de fusion ou d’acquisition dépassant certains seuils, afin de se soumettre à un processus d’examen.
Abus de pouvoir de marché
La loi allemande contre la concurrence déloyale (UWG) interdit aux entreprises d’abuser de positions dominantes sur le marché pour étouffer la concurrence. Cette loi interdit les pratiques telles que les prix prédateurs, le refus de vendre, la vente liée et groupée, ainsi que les comportements discriminatoires. La loi fournit également des lignes directrices sur ce qui constitue un abus de pouvoir de marché et les conséquences pour les entreprises reconnues coupables de telles pratiques.
Ententes entre concurrents
La GWB interdit les ententes, à savoir les accords entre concurrents visant à fixer les prix, à répartir les marchés ou à limiter la production. De tels accords sont considérés comme anticoncurrentiels et préjudiciables à la concurrence sur le marché. La GWB impose des amendes et d’autres sanctions aux entreprises impliquées dans des activités d’entente.
Introduction à la législation sur les marchés numériques (DMA)
Le DMA est un cadre réglementaire mis en place par la Commission européenne pour relever les défis posés par la domination des grandes plateformes numériques et promouvoir une concurrence loyale dans le secteur numérique. Il s’inscrit dans le cadre des efforts plus larges déployés par l’UE pour réglementer les marchés numériques et protéger les intérêts des consommateurs. Le DMA cible spécifiquement les entreprises qui ont un impact significatif sur le marché et agissent en tant que contrôleurs d’accès aux services numériques, à leurs audiences et aux données qu’ils génèrent.
Objectifs de la législation sur les marchés numériques
Les principaux objectifs du DMA sont les suivants : assurer une concurrence loyale, protéger les droits des consommateurs et leur vie privée, et promouvoir l’innovation dans le secteur numérique. La loi vise à réglementer le comportement des grandes plateformes numériques et à les empêcher de se livrer à des pratiques anticoncurrentielles. Le DMA vise également à responsabiliser les utilisateurs en renforçant leur contrôle sur leurs données à caractère personnel et en assurant la transparence des pratiques commerciales et du traitement des données.
Dispositions clés de la législation sur les marchés numériques
Le DMA (Digital Markets Act) comporte plusieurs dispositions qui visent à réglementer le comportement des contrôleurs d’accès et à promouvoir une concurrence loyale.
Définition des contrôleurs d’accès
Selon le DMA, les contrôleurs d’accès sont des entreprises qui ont un impact significatif sur l’écosystème numérique et qui servent d’intermédiaires entre les entreprises et les consommateurs. La Commission européenne a défini des critères permettant de déterminer si une entreprise remplit les conditions requises pour être contrôleur d’accès, notamment des facteurs tels que la part de marché, la base d’utilisateurs et le contrôle de l’accès aux services numériques.
Obligations pour les contrôleurs d’accès
Le DMA impose des obligations spécifiques aux contrôleurs d’accès afin de garantir une concurrence loyale, de promouvoir l’innovation et le choix, et de protéger les droits des consommateurs. Ces obligations comprennent notamment la fourniture d’un accès à leurs services dans des conditions équitables et non discriminatoires, l’interopérabilité avec des services tiers et la transparence de leurs pratiques. Les contrôleurs d’accès sont également tenus de partager les données avec les entreprises et les utilisateurs sur demande.
Recours et sanctions
La législation sur les marchés numériques prévoit des recours et des sanctions en cas de non-respect de ses dispositions. Elle habilite les autorités de régulation à imposer des amendes et autres sanctions aux contrôleurs d’accès qui enfreignent le DMA. Le DMA prévoit également des mesures correctives structurelles, telles que des dessaisissements ou des recours comportementaux, pour lutter contre les pratiques anticoncurrentielles.
En savoir plus sur le Digital Markets Act (DMA) :
Similitudes et différences entre la loi allemande contre les restrictions à la concurrence (GWB) et la législation sur les marchés numériques (DMA)
GWB | DMA | |
Portée et applicabilité |
|
|
Objectifs et principes | Vise à :
Principes de la GWB :
|
Vise à :
Cependant, le DMA répond spécifiquement aux défis posés par les plateformes numériques et cherche à réguler leur comportement pour assurer des conditions de concurrence équitables et protéger les droits des utilisateurs. Principes du DMA :
|
Dispositions et obligations clés | Réglementation de divers aspects du droit de la concurrence, notamment :
Impose aux entreprises l’obligation de se conformer aux règles de concurrence sous peine de sanctions. S’applique à tous les secteurs de l’économie, pas seulement aux marchés numériques. |
Introduit des dispositions et des obligations spécifiques pour les contrôleurs d’accès opérant dans le secteur numérique, notamment :
Les contrôleurs d’accès sont également tenus de partager des données avec des entreprises et des utilisateurs tiers qui utilisent leurs plateformes et services. Le DMA habilite également les autorités de régulation à imposer des amendes et d’autres sanctions en cas de non-conformité. |
Gestion du consentement | L’amendement de janvier 2021 de la GWB habilite le Bundeskartellamt (autorité allemande de la concurrence) à examiner les pratiques de traitement des données des entreprises opérant en Allemagne.
Il s’agit notamment d’analyser la façon dont les entreprises collectent et traitent les données des utilisateurs, et de déterminer si elles offrent aux utilisateurs suffisamment de choix et de transparence dans leur profilage à des fins publicitaires. Dans le cadre de la GWB, l’intégration de la gestion des consentements dans les sites web, les applications et les plateformes numériques est essentielle pour protéger la vie privée des utilisateurs, promouvoir la transparence et permettre à l’utilisateur de contrôler ses données à caractère personnel. |
La gestion du consentement joue un rôle crucial dans la législation sur les marchés numériques, car elle introduit des critères permettant de déterminer si une entreprise détient une position dominante sur le marché, notamment le volume et la pertinence des données, et l’accès aux ressources.
Le DMA interdit les pratiques préférentielles des contrôleurs d’accès pour leurs propres services, entravant l’accès au marché et faussant la concurrence par le biais du traitement des données. La loi vise à garantir que le consentement des utilisateurs est respecté et que les pratiques de traitement des données n’enfreignent pas les lois sur la protection de la vie privée et n’entravent pas une concurrence loyale. |
Réflexions finales concernant la GWB et le DMA
La loi allemande contre les restrictions à la concurrence et la législation sur les marchés numériques constituent toutes deux des mesures réglementaires importantes visant à garantir une concurrence loyale et à répondre aux préoccupations de l’économie numérique.
Dans ces deux législations, la gestion du consentement est cruciale pour protéger la vie privée des utilisateurs, promouvoir la transparence et permettre aux utilisateurs de contrôler leurs données à caractère personnel.
Récemment, Google a annoncé accepter de réformer ses pratiques de traitement des données après l’intervention antitrust allemande. Cette annonce souligne l’importance croissante d’intégrer la gestion du consentement dans les pratiques commerciales, et plus particulièrement dans les opérations marketing, à la lumière des lois sur la protection des données. Ce faisant, nous créons un écosystème numérique prospère qui respecte les droits des utilisateurs et favorise une concurrence saine.
Usercentrics ne fournit pas de conseils juridiques, et les informations sont fournies uniquement à des fins pédagogiques. Nous recommandons toujours de faire appel à un conseiller juridique qualifié ou à des spécialistes de la confidentialité concernant les questions et activités liées à la confidentialité et à la protection des données.
Dans le domaine du marketing numérique, la gestion efficace des consentements devient essentielle et, avec la mise en place de la législation de l’UE sur les marchés numériques (European Digital Markets Act ou DMA) (article en anglais), cet aspect prend une importance accrue pour les marques et les entreprises.
En vertu du Règlement général sur la protection des données (RGPD), il incombe aux propriétaires de sites web et aux opérateurs d’entreprises de gérer la collecte et le traitement des données personnelles des utilisateurs. Le DMA attribue désormais ces obligations aux grandes entreprises technologiques, désignées comme contrôleurs d’accès par la Commission européenne, pour encourager une concurrence équitable et protéger la vie privée des consommateurs.
Dans le cadre du DMA, les contrôleurs d’accès sont tenus de recueillir un consentement explicite pour la collecte et l’exploitation des données personnelles des citoyens européens sur leurs services de plateforme essentiels (CPS), notamment pour des activités telles que la publicité ou la recherche.
La violation des dispositions du DMA peut entraîner de très lourdes amendes, pouvant atteindre jusqu’à 10 % du chiffre d’affaires mondial annuel total pour les contrôleurs d’accès – jusqu’à 20 % en cas de récidive.
Afin de se prémunir contre ces sanctions, les entreprises concernées peuvent imposer à leurs clients et partenaires (consommateurs et entreprises tierces) des exigences supplémentaires en matière de gestion des consentements afin de maintenir l’accès à leurs services. De nombreuses entreprises dépendent des plateformes des contrôleurs d’accès pour toucher de larges audiences et bases de clients, ainsi que pour accéder à des données cruciales, ce qui, en retour, stimule leurs revenus.
Cet article explique en quoi la gestion des consentements est essentielle dans le cadre du DMA.
Les enjeux de la gestion des consentements
Tout d’abord, il est important de savoir en quoi consiste la gestion des consentements.
Il s’agit de la pierre angulaire de la protection des données et de la conformité en la matière. Elle couvre tout ce qu’il se passe depuis le moment où l’entreprise sollicite le consentement de l’utilisateur pour la collecte et l’utilisation de ses données jusqu’à ce que ces informations de consentement soient stockées ou communiquées aux partenaires, notamment aux contrôleurs d’accès, ainsi qu’aux autorités chargées de la protection des données.
La gestion des consentements fournit aux entreprises un cadre pour solliciter, enregistrer et administrer de manière sécurisée et conforme le consentement des utilisateurs. Ce processus doit être suffisamment souple pour s’adapter aux diverses réglementations en matière de confidentialité des données (article en anglais) qui s’appliquent aux activités de l’entreprise.
L’adoption de la législation sur les marchés numériques(DMA) rend indispensable pour les entreprises l’utilisation d’une plateforme de gestion des consentements efficace. Elles peuvent ainsi prouver leur conformité au DMA auprès des contrôleurs d’accès, éviter d’éventuelles sanctions et préserver leur réputation.
Pourquoi la gestion des consentements est-elle essentielle en vertu de la législation de l’UE sur les marchés numériques (DMA) ?
1. Respect des normes prescrites pour l’utilisation des données personnelles
LeDMA exige l’adoption de pratiques loyales et transparentes dans le traitement des données. Il est impératif pour les entreprises de recueillir un consentement explicite par opt-in de la part des utilisateurs avant toute collecte ou utilisation de leurs données personnelles.
La gestion des consentements garantit que votre entreprise se conforme aux réglementations en matière de confidentialité, notamment le RGPD et le DMA, vous protégeant ainsi contre les sanctions et la perte de confiance des utilisateurs. Cette mesure s’avère indispensable pour les entreprises concernées par le RGPD et pour les contrôleurs d’accès visés par le DMA.
2. Protection de la vie privée et droits des utilisateurs en matière de données
Le DMA a pour objectif de garantir la protection des données personnelles des consommateurs et de renforcer leurs droits et leur liberté de choix.
La gestion des consentements redonne aux utilisateurs la maîtrise de leurs données personnelles, en leur permettant de sélectionner les cookies (article en anglais) et technologies de suivi autorisés, et de modifier aisément leurs préférences de confidentialité ultérieurement.
3. Harmonisation des règles pour une concurrence équitable
La législation sur les marchés numériques vise à établir des règles équitables pour les petites entreprises face aux grandes plateformes en ligne, désignées comme contrôleurs d’accès. Le but est d’instaurer des pratiques commerciales justes, d’accroître la transparence des activités et de stimuler l’innovation et la compétitivité.
Une gestion efficace des consentements permet aux petites entreprises de respecter les exigences réglementaires et de maintenir leur compétitivité sur les marchés numériques.
4. Renforcement de la crédibilité et de la confiance
Les plateformes de gestion des consentements offrent une transparence complète aux utilisateurs en les informant sur le traitement de leurs données par les entreprises, les méthodes de suivi de leur comportement en ligne, les finalités de ce suivi et les informations collectées. En disposant de toutes les données nécessaires, les utilisateurs sont en mesure de donner leur consentement en toute connaissance de cause.
En mettant l’accent sur la conformité et la transparence, vous jetez les bases d’une relation de confiance et de crédibilité avec votre audience.
Usercentrics : la meilleure plateforme de gestion du consentement (CMP) pour vous préparer au DMA
Usercentrics est la première plateforme de gestion du consentement (CMP) pour sites web et la première solution de consentement pour les applications mobiles. Elle est plébiscitée dans le monde entier et dans tous les secteurs d’activité. Notre plateforme se distingue par un taux de fidélisation client exceptionnel de plus de 99 %. Chaque jour, plus de 900 000 sites web répartis dans plus de 180 pays font confiance à Usercentrics. Par ailleurs, nous gérons quotidiennement plus de 61 millions de consentements.
Les solutions de consentement de Usercentrics, conçues tant pour le web que pour les applications mobiles, simplifient et optimisent la collecte des consentements. Cela permet de garantir la conformité non seulement au DMA, mais aussi à d’autres réglementations relatives à la protection des données personnelles.
Usercentrics offre une haute protection des données, pour une gestion simplifiée et efficace des consentements utilisateur vous permettant :
- de personnaliser les bandeaux de consentement selon votre identité de marque ;
- d’adapter les demandes de consentement aux réglementations en vigueur et aux processus de traitement de données spécifiques ;
- de générer un journal d’audit pour les audits de protection des données ou pour traiter les réclamations ;
- d’accorder aux utilisateurs de votre site web et de vos applications un contrôle accru sur leurs données personnelles et leur consentement ;
- d’adopter une démarche de transparence axée sur l’utilisateur en matière de protection de la vie privée.
Respect de la législation de l’UE sur les marchés numériques pour une confiance accrue des utilisateurs
En déployant Usercentrics CMP pour vous mettre en conformité avec la législation sur les marchés numériques (DMA), vous affichez clairement l’engagement de votre entreprise envers la protection des données et le respect de la vie privée. Usercentrics offre une documentation exhaustive qui clarifie les exigences du DMA relatives à la protection de la vie privée et souligne vos responsabilités au regard d’autres réglementations.
La mise en œuvre de Usercentrics CMP ne se limite pas au simple respect des règles de confidentialité ; elle contribue également à créer un climat de confiance avec vos utilisateurs. Ces derniers se montrent plus enclins à partager leurs données avec une marque qui valorise et protège leur vie privée, confortés par la garantie que leur consentement est pris en compte à travers tout l’écosystème numérique.
La législation de l’UE sur les marchés numériques : conclusion et marche à suivre
Notre époque est marquée par une prise de conscience accrue et une réglementation renforcée en matière de protection des données. Les lois telles que la législation sur les marchés numériques (DMA) constituent une nouvelle étape dans l’évolution de la réglementation, avec pour double objectif la protection et la gestion des données personnelles et des consentements, tout en favorisant le développement et l’innovation au sein de l’écosystème numérique.
« Sur le marché international du digital, les entreprises qui tireront leur épingle du jeu sont celles qui s’attachent au respect de la vie privée et à la transparence. En choisissant la conformité et des pratiques exemplaires de protection des données, vous préservez et renforcez votre réputation, mais gagnez aussi la confiance de vos utilisateurs. Ignorer ces impératifs, ce serait laisser le champ libre à des entreprises pionnières qui n’hésiteront pas à faire du respect de la vie privée un avantage concurrentiel. »
Celestine Bahr, International data privacy expert and Director Legal, Compliance & Data Privacy chez Usercentrics
Optez pour Usercentrics comme plateforme de gestion du consentement : simplifiez votre démarche de conformité et instaurez une politique de confidentialité des données plaçant l’utilisateur au centre
Au cours des dernières années, les autorités de l’Union européenne ont exprimé des inquiétudes quant à la concentration du pouvoir et au manque de concurrence sur le marché numérique. Pour y répondre, des réglementations visant à assurer une plus grande égalité et à favoriser la concurrence et l’innovation ont été introduites. L’une de ces réglementations est la législation sur les marchés numériques (Digital Markets Act ou DMA). Cette loi définit des règles pour les plateformes numériques qui agissent en tant que contrôleurs d’accès. Dans cet article, nous examinons le calendrier du DMA, de son adoption à sa prise d’effet, ainsi que les prochaines étapes de sa mise en œuvre.
Premier point du calendrier du DMA : Avantages de la législation sur les marchés numériques
Le parcours du DMA a commencé avec la reconnaissance par la Commission européenne (CE) de la nécessité de relever les défis posés par les plateformes numériques dominantes, détenues par des entreprises désignées comme des « contrôleurs d’accès ». En décembre 2020, la CE a publié une proposition de réglementation visant à promouvoir des marchés plus équitables dans le secteur numérique. Cette législation deviendra le DMA. La proposition visait à établir un cadre complet pour la régulation du comportement des entreprises des contrôleurs d’accès et des plateformes influentes qu’elles exploitaient, afin de niveler le terrain de jeu pour toutes les entreprises et de promouvoir l’innovation et le bien-être des consommateurs.
Le DMA a été introduit avec la législation sur les services numériques (Digital Services Act ou DSA) dans le paquet législatif sur les services numériques. La proposition du DMA a fait l’objet d’une attention particulière et d’un processus législatif approfondi : consultations, discussions et négociations avec diverses parties prenantes, y compris les États membres de l’UE, le Parlement européen et les représentants du secteur.
Approbation et adoption de la législation de l’UE sur les marchés numériques
Après un long processus de délibération, le DMA a été approuvé par le Parlement européen et le Conseil. En juillet 2022, le Parlement européen, dans le cadre d’une séance plénière, a voté en faveur du DMA avec une majorité écrasante. Le Conseil a également approuvé le texte, signifiant l’accord des États membres.
Quand la législation de l’UE sur les marchés numériques est-elle entrée en vigueur ?
Le texte final du DMA a été publié dans le Journal officiel de l’Union européenne le 12 octobre 2022 et est officiellement entré en vigueur le 1er novembre 2022. Cela a marqué une étape importante dans la réglementation des marchés numériques et la mise en place d’un nouveau cadre réglementaire pour les contrôleurs d’accès.
En mai 2023, la plupart des règles du DMA sont devenues applicables et, le 6 septembre 2023, la Commission européenne a désigné les six contrôleurs d’accès qui ont l’obligation de se conformer au DMA. Les contrôleurs d’accès sont : Meta, Alphabet, Amazon, ByteDance, Apple, Microsoft. D’autres entreprises pourraient recevoir cette désignation à l’avenir.
Les prochaines étapes du DMA
Des étapes importantes sont prévues à l’avenir. Les contrôleurs d’accès disposent de six mois à compter de la date de leur désignation pour se conformer aux nouvelles obligations (soit jusqu’au 6 mars 2024). À cette date, les contrôleurs d’accès sont tenus de :
- respecter les obligations et restrictions énoncées aux articles 5, 6 et 7, comme indiqué à l’article 3 (10) ;
- fournir un rapport détaillé décrivant les mesures prises pour garantir la conformité, en vertu de l’article 11 ;
- présenter à la CE un audit qui décrit les techniques utilisées pour le profilage des clients, conformément à l’article 15.
Suite à une enquête de marché de 18 mois menée indépendamment par la Commission européenne ou à la demande d’un minimum de trois États membres, la CE est tenue de présenter un rapport. Ce rapport peut entraîner:
- la proposition d’une modification législative visant à introduire de nouvelles dispositions dans le cadre du DSA (DMA) ou des obligations supplémentaires ;
- la suggestion d’un acte délégué pour l’inclusion d’obligations supplémentaires dans le cadre existant conformément aux dispositions des articles 12 et 19 du DMA ;
- la consultation obligatoire d’experts du Conseil et du Parlement.
D’ici le 3 mai 2026, la Commission européenne est tenue de réviser les règles et de signaler au Parlement, au Conseil et au Comité économique et social européen toute modification à apporter.
Comment se préparer au DMA ?
La préparation aux exigences du DMA doit être l’une des priorités des entreprises, étant donné qu’elles auront une influence considérable sur le futur du marché numérique européen. Pour vous préparer dans le cadre du DMA, procédez comme suit :
1. Commencez par comprendre les données que votre entreprise collecte, la façon dont elles sont collectées, utilisées et partagées, et avec qui. Consultez vos politiques internes relatives au traitement des données utilisateur, à l’obtention du consentement des utilisateurs et à l’utilisation des données, y compris les accords de partage de données tiers.
2. Assurez-vous que votre site web ou votre application est équipé(e) des outils de confidentialité nécessaires, collecte le consentement des utilisateurs de manière conforme et dispose d’une politique de confidentialité complète et facilement compréhensible (article en anglais).
3. Envisagez la mise en œuvre d’une solution de protection de la vie privée afin de vous conformer au DMA, telle que la plateforme de gestion du consentement Usercentrics (CMP) ou le SDK (kit de développement logiciel) de l’application mobile (article en anglais).
Usercentrics CMP est régulièrement mise à jour et automatisée pour vous permettre de vous conformer à toutes les exigences du DMA. En outre, elle aide les organisations à respecter le Règlement général sur la protection des données (RGPD) (article en anglais), le principal dispositif de protection des données au sein de l’Union européenne. Cette solution vous aide à :
- collecter le consentement des utilisateurs de manière sécurisée et conforme ;
- respecter la vie privée des utilisateurs et les données à caractère personnel ;
- analyser les préférences de consentement pour améliorer les taux de consentement (article en anglais).
Restez informé des futures mises à jour du DMA et des développements connexes en vous abonnant à la newsletter de Usercentrics.
Abonnez-vous dès maintenantEn suivant ces étapes, votre entreprise se prépare convenablement aux exigences et aux évolutions du marché numérique européen.
Clause de non-responsabilité :
Usercentrics ne fournit pas de conseils juridiques, et les informations sont fournies uniquement à des fins pédagogiques. Nous recommandons toujours de faire appel à un conseiller juridique qualifié ou à des spécialistes de la confidentialité concernant les questions et les activités liées à la confidentialité et à la protection des données.
En 2023, une série de nouveaux règlements sur la protection de la vie privée a été adoptée, tandis que d’autres, instaurés antérieurement, sont entrés en application. L’année 2024 verra l’émergence de nouvelles lois, ou la mise en œuvre de celles déjà établies. Ces réglementations, particulièrement significatives pour les grandes entreprises technologiques, auront des répercussions sur la protection des données, affectant également les tiers qui utilisent leurs plateformes et services pour atteindre le public, accéder à des données et générer des revenus.
La régulation de l’intelligence artificielle sera vraisemblablement renforcée. L’intérêt croissant pour cette technologie a joué un rôle clé dans la sensibilisation des consommateurs à l’accès et à l’utilisation de leurs données personnelles. Ces changements réglementaires, ainsi que les exigences accrues des entreprises, se traduiront par de multiples avantages pour les consommateurs, notamment une plus grande transparence, une meilleure concurrence, des innovations accrues et un éventail de choix élargi.
Examinons de plus près certaines des avancées attendues en 2024 en matière de protection des données.
2024 : Règlements et évolution des entreprises en matière de protection des données
En 2023, plusieurs lois adoptées aux États-Unis ont été promulguées et sont prévues pour entrer en vigueur en 2024. Cette évolution marquera une augmentation significative du nombre d’États américains dotés de règlements en matière de protection des données, accompagnée de nouvelles obligations pour les entreprises qui traitent des données personnelles.
Par ailleurs, 2024 devrait voir la finalisation de plusieurs importants règlements mondiaux en matière de confidentialité. Ces mesures visent à étendre ou à renforcer la protection des données pour un plus grand nombre d’utilisateurs, notamment dans des régions telles que l’Union européenne.
Les technologies visant à soutenir et à améliorer la protection de la vie privée, connues sous le nom de technologies d’amélioration de la confidentialité (PET), devraient également être au centre des préoccupations. La politique de confidentialité d’un site web sera perçue comme un élément clé pour renforcer la confiance des utilisateurs, promouvoir la transparence et s’aligner sur les responsabilités sociales de l’entreprise.
L’adoption de nouvelles lois, telles que le Digital Markets Act (DMA), entraînera vraisemblablement des modifications rapides et significatives dans les opérations des grandes entreprises technologiques, ainsi que pour les petites sociétés qui dépendent de leurs plateformes. Les protections en matière de confidentialité sont en passe de couvrir une plus grande partie de la population mondiale que jamais auparavant. Reste à voir si, comme le prévoit Gartner, elles concerneront 75 % des utilisateurs d’ici la fin de l’année.
Protection des données aux États-Unis
Huit États américains ont adopté des lois sur la protection des données en 2023, parmi lesquelles cinq seront effectivement appliquées à partir de 2024 :
- Montana Consumer Data Privacy Act (MTCDPA)
- Florida Digital Bill of Rights (FDBR)
- Texas Data Privacy and Security Act (TDPSA)
- Oregon Consumer Privacy Act (OCPA)
- Delaware Personal Data Privacy Act (DPDPA)
Actuellement, des réglementations relatives à la protection des données ont été instaurées dans 14 États sur les 50 que compte le pays, bien que 40 États aient remis la question à plus tard, certains le faisant de manière récurrente. Il est prévu que de nouvelles lois sur la confidentialité soient soumises à l’approbation des gouverneurs en 2024.
Aux États-Unis, les avancées dans ce domaine demeurent lentes, voire stagnantes. Néanmoins, des développements tels que l’intelligence artificielle générative suscitent un vif intérêt, particulièrement en ce qui concerne la protection des données. Ces sujets connexes pourraient potentiellement accélérer l’instauration d’une loi fédérale plus étendue sur la confidentialité aux États-Unis.
Protection des données au Canada
La loi C-27 présente la Loi de 2022 sur la mise en œuvre de la Charte Numérique, instaurant ainsi un nouveau cadre de gouvernance pour l’accès et l’utilisation des informations personnelles dans le secteur privé. Actuellement en phase d’examen par le comité, ce projet de loi pourrait être adopté en 2024, marquant ainsi l’entrée en vigueur de la loi sur la protection de la vie privée des consommateurs (CPPA) et remplaçant le règlement PIPEDA, en vigueur depuis plus de 20 ans.
La loi sur la mise en œuvre de la Charte Numérique engloberait également la Loi sur le Tribunal de la protection des renseignements personnels et des données, établissant ainsi un tribunal administratif chargé d’examiner certaines décisions du commissariat à la protection de la vie privée du Canada et d’imposer des sanctions en cas de violation de la loi CPPA.
Cette législation vise également à faire face à la croissance de l’influence et de l’utilisation de l’intelligence artificielle, en introduisant la Loi sur l’intelligence artificielle et les données (AIDA). Cette dernière proposerait une régulation du commerce dans les systèmes d’IA, adoptant une approche basée sur les risques. Tout nouvel ensemble de réglementations ou cadre réglementaire concernant l’IA devrait mettre l’accent sur la protection des données, en particulier celles des consommateurs
Protection des données en Australie
Le Privacy Act est en vigueur en Australie au niveau fédéral depuis 1988, complété par d’autres lois fédérales et territoriales. Bien qu’ayant été modifié pour la dernière fois en 2022, une révision est attendue depuis un certain temps. En février 2023, le Privacy Act Review Report, comprenant 116 propositions, avait été publié. Les incidents de violations de données à grande échelle des dernières années augmentent probablement la nécessité de renforcer la protection des données et des citoyens australiens. De nouveaux changements sont donc attendus en 2024.
Règlement ePrivacy dans l’UE
Au sein de l’Union européenne, la directive ePrivacy (ePD) est en vigueur depuis 2018, donc depuis aussi longtemps que le règlement général sur la protection des données (RGPD). Cependant, le règlement ePrivacy (ePR), destiné à remplacer l’ePD, accuse un certain retard. Au cours des dernières années, l’UE a adopté d’autres lois relatives à la protection des données, notamment la Législation sur les marchés numériques (Digital Markets Act, DMA), et la loi sur l’intelligence artificielle, qui devrait être adoptée début 2024.
L’ePR établirait, entre autres, des directives plus claires sur l’utilisation des cookies et régulerait les nouveaux services de communication électronique non couverts par l’ePD, tels que WhatsApp ou Facebook Messenger, entre autres. Toutefois, avec une période de transition de 24 mois, il ne devrait pas entrer pleinement en vigueur avant 2026 s’il est finalisé en 2024.
Règlements relatifs à l’intelligence artificielle (IA)
La loi sur l’IA de l’Union européenne, attendue pour le début de l’année 2024, sera la première de son genre. Celle-ci prévoit d’introduire de nouvelles règles, directives et interdictions concernant le développement et l’utilisation de l’IA au sein de l’UE. Elle pourrait également exercer une influence significative sur l’élaboration de lois similaires dans d’autres pays, comme le RGPD l’avait fait lors de son entrée en vigueur.
Le président des États-Unis, Joe Biden, a également signé un décret présidentiel pour une utilisation plus sûre de l’IA en octobre 2023, qui influencera également les progrès dans ce domaine.
Lois du Digital Services Act Package
Dans notre récapitulatif de 2023, nous avions déjà évoqué l’ensemble des lois du Digital Services Act Package, qui comprend le Digital Services Act (DSA) et le Digital Markets Act (DMA). Certaines de leurs exigences ont commencé à être mises en œuvre dès 2023, mais elles entreront pleinement en vigueur au début de 2024.
Ces législations imposent des exigences de conformité aux grandes entreprises technologiques désignées, qui, à leur tour, devront veiller à la conformité de leurs clients et partenaires tiers. Elles pourraient donc avoir un impact bien plus marqué que des réglementations telles que le RGPD sur la conformité en matière de protection de la vie privée, en particulier pour les petites entreprises, surtout dans l’UE. Un exemple en est l’obligation de Google d’utiliser une plateforme de gestion des consentements certifiée et prenant en charge le TCF 2.2 ainsi que le mode Consentement.
Restez attentifs aux changements importants qui débuteront en 2024 et affecteront les options des consommateurs, les opérations commerciales et la compétitivité sur les marchés numériques, comme par exemple l’adoption de plateformes de gestion des consentements (CMP) pour assurer la conformité de votre site web en matière de protection de la vie privée et de consentement.
Quel avenir pour le système « Pay or Okay » ?
Confrontée aux défis constants en matière de protection des données, l’Union européenne a réagi à la loi sur les marchés numériques (Digital Markets Act, DMA) qui la désigne comme « contrôleur d’accès ». En réponse, Meta, la société mère de Facebook et Instagram, a annoncé son intention de mettre en place un nouveau modèle d’abonnement appelé « Pay or Okay » (payer ou accepter), permettant aux utilisateurs de payer un abonnement mensuel pour accéder à Facebook et Instagram sans publicité.
Dans l’Union européenne, l’Espace économique européen (EEE) et en Suisse, les utilisateurs de Facebook et Instagram auront la possibilité de souscrire un abonnement payant mensuel pour éviter de recevoir des publicités. Les utilisateurs qui auront choisi de ne pas payer continueront de recevoir des publicités, et leurs données personnelles seront collectées et utilisées, notamment pour des annonces ciblées.
Toutefois, à la fin de 2023, plusieurs groupes, dont le Bureau européen des unions de consommateurs (BEUC), ont déposé plainte contre Meta concernant son projet d’abonnement, jugé abusif et perçu comme une autre tentative de contourner les lois de l’UE. Cette question devrait évoluer en 2024 et susciter une attention particulière de la part d’autres grandes entreprises technologiques.
Conclusions sur l’engagement pour la protection des données
Le meilleur mot pour définir le secteur de la protection des données en 2024 est probablement “accélération”. En effet, de nombreux changements initiés en 2023 se poursuivront cette année, influençant de nouvelles lois, exigences commerciales, technologies et attentes des consommateurs.
La protection des données prend de plus en plus d’importance pour les activités commerciales et la préservation de l’image d’une marque, ainsi que son chiffre d’affaires. Les entreprises sont de plus en plus attentives aux risques de non-conformité et aux opportunités liées à la protection des données et au respect de la vie privée des utilisateurs. Il est probable que la protection des données dans le secteur mobile, par exemple, gagne encore en importance en 2024.
Dans certaines régions, les entreprises constatent qu’elles doivent se conformer à de multiples réglementations, un défi particulièrement ardu pour les PME aux ressources limitées. Toutefois, ne vous laissez pas intimider par cette nouvelle norme : Usercentrics est là pour vous apporter son soutien. Nous nous efforçons de concevoir des solutions fiables et accessibles pour soutenir la croissance de votre entreprise face à l’évolution constante de la technologie et des réglementations.
Usercentrics (Cookiebot™) ne fournit pas de conseils juridiques, et les informations sont fournies uniquement à des fins pédagogiques. Nous recommandons toujours de faire appel à un conseiller juridique qualifié ou à des spécialistes de la protection de la vie privée en ce qui concerne les questions et les opérations relatives à la confidentialité et à la protection des données.
Le Digital Markets Act (en français, législation sur les marchés numériques ou DMA) est un règlement complet qui vise à favoriser une concurrence loyale et à lutter contre la domination des plateformes numériques des grandes entreprises technologiques. La loi s’applique aux plateformes des contrôleurs d’accès désignés, telles que les marchés en ligne et les moteurs de recherche, qui ont un impact significatif sur le marché européen. En contribuant à assurer des conditions de concurrence plus équitables, le DMA offre aux start-ups et aux PME de meilleures opportunités de rivaliser et de monétiser leurs offres.
En savoir plus sur le DMA : Qu’est-ce que le Digital Markets Act (DMA) ?
Comment tirer parti des nouvelles règles introduites par la législation sur les marchés numériques (DMA) en tant que start-up ou PME ? Poursuivez votre lecture pour le découvrir.
Adoptez la transparence pour instaurer la confiance
Exigence fondamentale de la législation sur les marchés numériques, la transparence constitue également la pierre angulaire des stratégies de monétisation réussies pour le commerce en ligne. En tant que start-up ou PME, vous pouvez tirer parti du DMA pour améliorer la transparence et instaurer la confiance avec vos clients.
En communiquant clairement vos pratiques de traitement des données, vos politiques de confidentialité et vos mécanismes de consentement, et en vous assurant d’utiliser un langage simple et clair pour l’utilisateur lambda, vous témoignez de votre engagement à respecter les consommateurs et à protéger la vie privée des utilisateurs. Cela favorise la confiance, d’où une meilleure fidélisation des clients, un engagement plus élevé au fil du temps et des opportunités de monétisation accrues.
Assurer la transparence grâce au DMA dans la pratique :
- Communiquez clairement les prix et les frais associés à vos services (y compris en cas de changements) ;
- Fournissez des informations transparentes sur vos pratiques et politiques commerciales ;
- Publiez des avis et témoignages de clients pour apporter une preuve sociale ;
- Proposez éventuellement plusieurs niveaux de produits ou de services auxquels les clients peuvent accéder progressivement. En effet, ils n’ont peut-être pas besoin d’une offre premium tout de suite ;
- Offrez une garantie de remboursement ou un essai gratuit afin de réduire les risques pour les clients potentiels.
Exemple de transparence sur l’utilisation des données et comment instaurer la confiance :
Prenons le cas d’une start-up proposant une application mobile. En intégrant des avis de confidentialité clairs et concis, en fournissant un contrôle granulaire sur le partage des données et en obtenant un consentement explicite pour la publicité ciblée, la start-up peut s’imposer comme une marque digne de confiance aux yeux de ses utilisateurs.
Vous voulez lire une vraie success-story ? Découvrez notre étude de cas : Le consent marketing dans la pratique : comment le consentement des utilisateurs a permis à Homa Games d’augmenter de 10 % son LTV publicitaire. (article en anglais)
Découvrez des modèles commerciaux collaboratifs
À l’ère de la législation sur les marchés numériques, vous pouvez exploiter la puissance des modèles commerciaux collaboratifs pour ouvrir de nouvelles voies de monétisation. Les partenariats avec d’autres entreprises, tant à l’intérieur qu’à l’extérieur de votre secteur d’activité, vous permettent d’accéder à des bases de clients plus importantes, d’enrichir vos offres de produits ou de services et de diversifier vos sources de revenus.
En tirant parti des API et des accords de partage de données conformément à la législation sur les marchés numériques, vous pouvez également créer des solutions novatrices et capter de nouveaux segments de marché.
Développer la collaboration grâce à la conformité avec le DMA dans la pratique :
- Établissez des partenariats avec d’autres start-ups complémentaires ou des entreprises établies pour créer des offres communes ou des promotions croisées ;
- Envisagez de former des alliances stratégiques ou des collaborations avec des influenceurs du secteur ou des leaders d’opinion ;
- Explorez les opportunités de co-marketing pour atteindre un public plus large et partager des ressources.
Exemple de collaboration pour multiplier les opportunités :
Imaginez une start-up de livraison de nourriture collaborant avec une plateforme d’évaluation des restaurants locaux. En partageant les données et en intégrant ses services, la start-up peut proposer des recommandations personnalisées aux utilisateurs, tandis que la plateforme d’évaluation gagne en visibilité et en engagement des utilisateurs. Ce partenariat mutuellement bénéfique ouvre de nouvelles opportunités de monétisation pour les deux parties.
En savoir plus sur la monétisation des applications pour les annonceurs mobiles et les éditeurs d’applications mobiles : TCF v2.2 et partenariats de monétisation (en anglais)
Exploitez le potentiel des insights basés sur les données
Les données forment la pierre angulaire de l’économie numérique, et les start-ups ou petites entreprises sont assises sur une mine de précieuses données utilisateur. La législation sur les marchés numériques souligne l’importance de l’accès aux données et de leur portabilité, pour que les petits acteurs puissent faire jeu égal.
En tirant parti de l’analyse des données et des informations, vous pouvez prendre des décisions plus éclairées pour optimiser vos stratégies de monétisation. Comprendre le comportement, les préférences et les tendances des utilisateurs vous permet d’adapter vos offres, d’améliorer l’expérience client et de générer des conversions plus élevées.
Accroître la visibilité des clients via l’analyse des données dans la pratique :
- Collectez et analysez les données des clients pour comprendre leurs préférences, comportements et besoins ;
- Utilisez les données pour personnaliser et optimiser vos offres, vos prix et vos stratégies marketing ;
- Exploitez les données pour identifier de nouvelles sources de revenus ou de nouveaux domaines de croissance de l’entreprise ;
- Envisagez de proposer l’analyse des données ou des insights en tant que service distinct pour générer des revenus supplémentaires.
Exemple d’utilisation des données pour augmenter les ventes :
Une start-up de e-commerce dans le domaine de la mode peut analyser les habitudes et la fréquence de navigation des clients, ainsi que l’historique des achats pour offrir des recommandations personnalisées et des promotions ciblées. En tirant parti des insights basés sur les données, la start-up peut augmenter les opportunités de ventes croisées, renforcer la satisfaction des clients et, en fin de compte, augmenter son chiffre d’affaires.
Restez agile et innovez
Les start-ups et les PME doivent rester agiles et miser sur l’innovation pour conserver une longueur d’avance sur la concurrence, plus encore que les marques connues ou établies. Heureusement, les petites entreprises sont souvent plus flexibles que les grandes, qui, ayant connu le succès et obtenu une position dominante sur le marché, sont susceptibles de moins se concentrer sur l’innovation et l’anticipation de l’évolution des tendances.
La législation sur les marchés numériques encourage l’innovation en favorisant l’interopérabilité et en contribuant à garantir un accès équitable aux plateformes et services numériques essentiels. En explorant continuellement les technologies émergentes, en expérimentant de nouveaux modèles d’entreprise et en s’adaptant aux tendances du marché ou en les devançant, les start-ups peuvent saisir des opportunités de monétisation que d’autres pourraient négliger. N’ignorez jamais les possibilités offertes par l’avantage du précurseur.
L’innovation continue dans la pratique :
- Surveillez en permanence les tendances du marché et les besoins des clients pour identifier de nouvelles opportunités de monétisation, notamment en dehors des canaux habituels, qui peuvent ne pas prendre en compte les avancées de niche ou non conventionnelles ;
- Expérimentez différents modèles de tarification, notamment Freemium, la tarification échelonnée ou les modèles basés sur abonnement ;
- Mettez régulièrement à jour et améliorez vos produits ou services en fonction des commentaires des clients, mais assurez-vous de continuer à être le moteur de votre propre stratégie ;
- Gardez une longueur d’avance sur vos concurrents en investissant dans la recherche et le développement pour introduire de nouvelles fonctionnalités ou offres, et procédez à des tests précoces et fréquents pour trouver un véritable potentiel.
Exemple d’exploration de la technologie pour saisir les opportunités de monétisation dans le cadre du DMA :
Prenons l’exemple d’une start-up SaaS (Software-as-a-Service) qui offre des outils de gestion de projet. En s’intégrant aux plateformes de collaboration populaires et en tirant parti des technologies émergentes telles que l’intelligence artificielle, la start-up peut améliorer ses offres, attirer de nouveaux clients et se positionner comme leader sur son segment de marché.
Derniers propos sur l’utilisation de la législation sur les marchés numériques pour la monétisation des petites entreprises
En adoptant la transparence, en explorant les modèles commerciaux collaboratifs, en exploitant les informations basées sur les données et en restant agile, vous pouvez libérer tout le potentiel de votre entreprise.
Le compte à rebours pour se préparer à la législation sur les marchés numériques est lancé. Même si la conformité avec le DMA peut sembler difficile en matière de protection de la vie privée, ce règlement est censé être un allié pour les petites entreprises.
Lisez notre FAQ sur le DMA : les 30 questions les plus fréquemment posées
Pour commencer, il est essentiel de comprendre les données collectées par votre entreprise, où et comment elles sont obtenues, et avec qui elles sont partagées. Passez en revue vos politiques internes concernant le traitement des données, l’obtention du consentement et l’utilisation des données, notamment leur partage avec des tiers.
Assurez-vous que votre site web ou votre application intègre les outils de confidentialité adéquats pour la conformité à la législation sur les marchés numériques. Mettez en œuvre des mécanismes de consentement des utilisateurs qui s’alignent sur les exigences du DMA et disposez d’une politique de confidentialité complète et claire (lien vers le site en anglais). Pour rationaliser vos efforts en matière de conformité, mettez en œuvre une solution de confidentialité adaptée au DMA, telle que la plateforme de gestion du consentement Usercentrics (CMP). Vous pouvez également utiliser le SDK (kit de développement logiciel) de l’application mobile (lien vers le site en anglais). Avec ces mesures en place, vous serez prêt pour la législation sur les marchés numériques .
Chaque jour, nous créons plus de 300 millions de téraoctets de données. Le volume de données mondiales générées chaque année a augmenté de 23,71 % en 2023, et devrait augmenter dans les mêmes proportions en 2024 et 2025.
En fait, nous créons nous-mêmes beaucoup d’informations qui nous concernent, ainsi que nos activités en ligne. Les utilisateurs exigent de plus en plus de transparence de la part des entreprises sur leurs pratiques de collecte, de partage et d’utilisation de ces informations. Une enquête menée auprès d’environ 17 000 consommateurs dans le monde a montré que :
- 74 % estiment que les entreprises recueillent plus d’informations personnelles que nécessaire ;
- 64 % pensent que la plupart des entreprises ne sont pas transparentes sur la façon dont elles utilisent les informations personnelles ;
- 79 % sont plus susceptibles de faire confiance à une entreprise si elle explique clairement la façon dont elle utilise les données.
La collecte illimitée de données ouvre la porte à d’éventuelles violations de la protection de la vie privée. C’est pourquoi de très nombreux pays ont légiféré sur la protection des données et de la vie privée des utilisateurs.
Le Digital Markets Act (DMA) (en français, législation sur les marchés numériques), entré en vigueur le 1er novembre 2022, fait partie des dispositifs adoptés dans ce sens. L’objectif du DMA est de réglementer les grandes plateformes en ligne et de résoudre les problèmes liés à la concurrence, à la protection des consommateurs et à la protection de la vie privée dans le secteur numérique.
Dans cet article, nous abordons l’impact des exigences en matière de protection de la vie privée et de conformité du DMA sur l’expérience des utilisateurs en ligne. Nous présentons également les mesures que les utilisateurs peuvent prendre pour protéger davantage leurs données à caractère personnel.
Qu’est-ce que la législation sur les marchés numériques (DMA) ?
Le DMA est un cadre réglementaire de l’Union européenne qui impose de nouvelles exigences aux grandes entreprises technologiques – qu’elle a désignées comme « contrôleurs d’accès » – pour promouvoir un environnement numérique juste et compétitif, prévenir les pratiques déloyales desdits contrôleurs, et protéger les droits et les intérêts des petites entreprises et des consommateurs en ligne.
Le DMA a un impact sur les utilisateurs de l’Union européenne (UE) et/ou de l’espace économique européen (EEE), ainsi que sur les entreprises qui répondent aux besoins des utilisateurs dans ces régions.
Les contrôleurs d’accès désignés en vertu du DMA sont :
- Alphabet (Google, YouTube, Android)
- Amazon
- Apple (iOS, App Store)
- ByteDance (TikTok)
- Meta (Facebook, Instagram, WhatsApp)
- Microsoft (LinkedIn, Windows PC OS)
La Commission européenne a également identifié 22 « services de plateforme essentiels » (SPE) détenus et gérés par les contrôleurs d’accès, qui sont concernés par le DMA. Il s’agit notamment des réseaux sociaux, des moteurs de recherche, des navigateurs, des systèmes d’exploitation et des services de messagerie comptant des millions ou des milliards d’utilisateurs.
Dans l’avenir, d’autres entreprises pourront intégrer la liste des « contrôleurs d’accès ». De même, d’autres services numériques pourront faire partie de la liste de SPE en temps utile.
Impact de la législation sur les marchés numériques(DMA) sur les services de plateforme principale et conséquences pour les utilisateurs
Les services de plateforme essentiels couvrent un large éventail d’activités courantes des internautes. Les données qu’elles génèrent sont ensuite traitées par ces entreprises. Bon nombre d’utilisateurs ne sont pas conscients de la quantité et des types de données qu’ils génèrent, qui sont collectées et utilisées par les entreprises.
DMA sur les plateformes de réseaux sociaux : TikTok, Facebook, Instagram, LinkedIn
Publicités en ligne
Les plateformes de réseaux sociaux réalisent des chiffres d’affaires qui pèsent des milliards de dollars grâce à la publicité en ligne. Le DMA exige de ces plateformes qu’elles obtiennent le consentement explicite des utilisateurs résidant dans l’UE avant de traiter des données à caractère personnel à des fins publicitaires.
Autrement dit, les plateformes devront mettre en place des mécanismes de consentement clairs et conviviaux, et être transparentes quant à leurs pratiques de traitement des données. Il faudra aussi qu’elles informent les internautes qu’ils ont la possibilité de refuser ou de retirer leur consentement et qu’elles précisent la manière dont cela affectera leur expérience sur la plateforme.
Cela permettra aux utilisateurs de contrôler leurs données et de prendre des décisions éclairées concernant le consentement à la collecte de leurs données et à la manière dont elles peuvent être utilisées. Par exemple, les utilisateurs peuvent consentir à recevoir des publicités ciblées en fonction de leurs données. Dans le cas contraire, ils recevront des publicités qui peuvent ne pas les intéresser.
Combinaison de données à caractère personnel
La plupart des contrôleurs d’accès exploitent plusieurs plateformes principales qui sont concernées par le DMA. Il se peut que les utilisateurs en utilisent plusieurs. Le DMA interdit aux contrôleurs d’accès de combiner les données à caractère personnel collectées sur une plateforme avec les données à caractère personnel recueillies sur une autre, ou avec les données à caractère personnel collectées via un autre service fourni par ces contrôleurs ou par des tiers avec lesquels ils font affaire.
Cela signifie, par exemple, que Meta, qui possède Facebook, Instagram et WhatsApp (tous des SPE au sens du DMA), ne peut pas combiner les données à caractère personnel d’un utilisateur qui utilise deux plateformes – ou les trois – comme cela pourrait se faire à des fins de profilage.
Changer de plateforme
Le DMA exige des contrôleurs d’accès qu’ils mettent en place la portabilité des données : il s’agit d’un droit en vertu de plusieurs lois sur la protection des données. Si un utilisateur souhaite migrer vers une autre plateforme de réseaux sociaux, il peut demander ses données à caractère personnel dans un format utilisable et les transférer gratuitement vers l’autre plateforme. C’est la garantie d’une liberté de choix des meilleurs fournisseurs de services en fonction de ses besoins.
Le DMA sur les moteurs de recherche : Recherche Google
Concurrence loyale
Google Search est le seul moteur de recherche en ligne à être désigné comme un service de plateforme essentiel par le DMA à l’heure actuelle, ce qui peut engendrer des changements importants pour les utilisateurs, en fonction des changements que Google devra apporter.
L’un des changements importants concerne le classement des résultats de la recherche Google Search. Le DMA exige que les contrôleurs d’accès ne puissent pas privilégier leurs propres services par rapport à ceux des autres. Ainsi, lors de l’affichage des résultats d’une recherche de produits, Google n’aura plus le droit d’afficher ses propres produits (p. ex., Google Analytics) en priorité dans les classements de recherche par défaut. Les autres plateformes d’analyse (« analytics ») doivent être logées à la même enseigne.
Changer de moteur de recherche
Comme pour le droit des utilisateurs de réseaux sociaux de changer de plateforme, ils pourront passer d’un autre moteur de recherche à un autre. En vertu des exigences de portabilité des données du DMA, Google doit permettre aux utilisateurs de transférer leurs données de Google Search vers un autre moteur de recherche. Par exemple, l’historique de recherche ou les préférences d’un utilisateur sur Google Search peuvent être transférés vers un autre moteur de recherche tels que Bing ou DuckDuckGo, garantissant ainsi la continuité de l’expérience utilisateur.
Le DMA et la publicité : Google, Microsoft, Amazon, Meta
Consentement explicite
Les contrôleurs d’accès devront obtenir le consentement explicite des utilisateurs sur tous les sites web et plateformes où ils affichent des publicités, qu’il s’agisse de leurs propres plateformes ou de plateformes tierces. Conformément au Règlement général sur la protection des données (RGPD), le DMA exige que le consentement ne puisse pas être accepté par le biais de cases pré-cochées ou de l’inactivité. Les contrôleurs d’accès et les entreprises qui utilisent leurs services pour faire de la publicité devront présenter un choix clair aux utilisateurs, généralement par le biais d’un bandeau de consentement aux cookies demandant l’autorisation de collecter certains types de données. Il existe également de nouvelles restrictions sur les fonctions liées à la publicité, telles que le profilage et le reciblage.
Transparence
La transparence va de pair avec le consentement explicite, car les utilisateurs doivent savoir à quoi ils consentent et connaître les options qui s’offrent à eux. En lieu et place d’informations enfouies dans de longues conditions générales, les entreprises du web devront avoir une politique de confidentialité et une politique de cookies faciles à comprendre et à consulter. Cela les aidera à prendre des mesures pour s’assurer que les utilisateurs ne se contentent pas de cliquer aveuglément sur « J’accepte », mais prennent une décision éclairée concernant leurs données.
Combinaison de données à caractère personnel
Le DMA vise également à renforcer la protection de la vie privée des utilisateurs en limitant la façon dont les services de plateforme essentiels partagent et utilisent les données qu’ils recueillent auprès des utilisateurs. Auparavant, si quelqu’un avait aimé une page consacrée aux « appareils de musculation » sur Facebook, il aurait peut-être reçu des publicités pour du matériel de fitness sur Instagram. Avec les règles DMA, Meta, qui possède à la fois Facebook et Instagram, ne peut pas partager librement des données entre les deux plateformes pour présenter des publicités sans l’autorisation explicite de l’utilisateur.
Le fait d’aimer une page « santé et bien-être » sur Facebook n’engendrera plus une vague de publicités sur Instagram pour les boissons protéinées, sauf si c’est ce que l’utilisateur a accepté. Cela permet de réduire les publicités personnalisées inattendues ou indésirables, ce qui offre plus de contrôle aux utilisateurs sur la façon dont leurs données sont utilisées.
Le DMA et les navigateurs web : Chrome, Safari
Collecte de données
Les navigateurs peuvent recueillir diverses informations auprès des utilisateurs, notamment le système d’exploitation, l’adresse IP, l’historique des activités en ligne, les données de remplissage automatique, l’historique et les mots de passe.
Le DMA met l’accent sur la protection des données, ce qui signifie que Chrome et Safari, les deux navigateurs identifiés comme services de plateforme essentiels, doivent améliorer la protection des données pour les utilisateurs de l’UE. Les utilisateurs doivent être informés et donner leur consentement explicite avant la collecte des données à caractère personnel.
Concurrence loyale
L’une des principales obligations des contrôleurs d’accès en vertu du DMA concerne la concurrence loyale. Pour les navigateurs web tels que Chrome et Safari, cela signifie qu’ils doivent garantir un traitement équivalent pour tous les sites web et les services basés sur un navigateur.
Plug-ins ou extensions
Le DMA exige que les contrôleurs d’accès garantissent l’interopérabilité avec les services tiers. Cela peut nécessiter que Chrome et Safari modifient leurs systèmes pour permettre une intégration plus transparente avec des applications ou des extensions tierces.
DMA et systèmes d’exploitation : Google Android, iOS, Windows PC OS
Boutiques d’applications tierces
Le DMA vise à promouvoir une concurrence loyale et à répondre aux préoccupations concernant les pratiques monopolistiques. Actuellement, les plateformes comme iOS d’Apple exercent un contrôle strict sur la distribution d’applications, l’App Store étant le seul canal à partir duquel les utilisateurs peuvent télécharger des applications. Les utilisateurs d’Android peuvent installer des applications à partir de sources tierces (en plus de Google Play Store) par le biais d’un processus appelé « sideloading » (ou parachargement), mais cela soulève des problèmes de sécurité et peut rendre vulnérables les appareils.
Toutefois, le DMA pourrait favoriser l’apparition d’autres boutiques d’applications, offrant ainsi aux développeurs et aux utilisateurs plus de choix et plus de sécurité. Cela pourrait mettre un terme à la domination de certaines plateformes et créer un marché d’applications plus concurrentiel. Bien que les détails du dispositif réglementaire concernant les boutiques d’applications tierces dans le cadre du DMA restent à définir, la loi promeut la transition vers un écosystème d’applications plus ouvert et compétitif sur le marché européen.
Applications et paramètres préinstallés
Le DMA aborde le sujet des applications préinstallées et des paramètres par défaut, qui ont longtemps procuré aux systèmes d’exploitation un véritable avantage. Normalement, ces systèmes sont équipés d’applications déjà sélectionnées et de paramètres qui orientent les utilisateurs vers l’utilisation des produits et services propres au système d’exploitation. Parfois, les utilisateurs ne peuvent pas supprimer de leurs appareils une telle ou telle application.
Le DMA permettra aux utilisateurs de supprimer plus facilement les applications préinstallées qu’ils ne souhaitent pas et de modifier les paramètres par défaut qui pourraient les orienter vers un service particulier. Par exemple, les utilisateurs pourront remplacer Apple Maps par Google Maps en toute simplicité. Le DMA introduit également des « écrans multichoix » pour les services clés, ce qui permet aux utilisateurs de sélectionner leurs applications préférées lors de la configuration.
DMA et services de messagerie WhatsApp, Messenger
Messagerie sur plusieurs plateformes
Pour réduire les monopoles, promouvoir la concurrence et donner plus de choix aux utilisateurs, le DMA exige des contrôleurs d’accès qu’ils garantissent l’interopérabilité avec les services tiers. Cela signifie que les services associés exploités par des tiers doivent être en mesure de communiquer et de s’intégrer aux plateformes principales des contrôleurs d’accès.
Les exigences en matière d’interopérabilité ont de grandes conséquences pour les applications de messagerie WhatsApp et Messenger, qui sont des services de plateforme essentiels au sens du DMA. Les consommateurs qui utilisent des services de messagerie tiers tels que Signal ou Telegram pourront discuter avec les utilisateurs sur WhatsApp ou Messenger sans avoir besoin de comptes sur ces plateformes et vice versa.
WhatsApp et Messenger sont tous deux la propriété de Meta, qui semble prendre des mesures pour mettre en œuvre cette exigence. En septembre 2023, une fonctionnalité de « chat tiers »pour le moment non opérationnelle a été observée dans les versions de développement de WhatsApp. Cependant, cette exigence du DMA a suscité un débat au motif qu’elle pourrait avoir un impact sur le chiffrement de bout en bout de WhatsApp, gage de sécurité de l’application.
Comment les utilisateurs peuvent-ils protéger leurs données à caractère personnel pour une expérience en ligne sécurisée ?
Bien que le DMA s’efforce de protéger les données à caractère personnel et de garantir la protection de la vie privée des utilisateurs, il est toujours judicieux pour vous, en tant qu’utilisateur, de prendre le contrôle de vos propres données et de prendre des mesures pour les protéger.
1. En matière de consentement, soyez sélectif
Le DMA exige que les plateformes ne puissent traiter vos données que pour des finalités spécifiques et si elles ont votre consentement explicite. La sélection réduit votre empreinte numérique et le risque d’utilisation abusive.
Avant de cliquer sur « J’accepte » ou « Autoriser » dans les conditions générales ou les bandeaux de consentement aux cookies, lisez ce que vous acceptez. Si un site web ne vous permet pas de prendre connaissance des technologies qui recueilleront vos données, de l’utilisation de ces dernières, des personnes qui y auront accès ou n’autorise pas les options de consentement granulaire, il n’est pas conforme.
2. Vérifiez régulièrement les autorisations
Au fil du temps, les plateformes peuvent déployer de nouvelles fonctionnalités ou de nouveaux services qui nécessitent une collecte de données supplémentaire. En vertu de nombreuses lois sur la protection des données, les utilisateurs doivent à nouveau donner leur consentement si les conditions de collecte et d’utilisation des données changent, de sorte que vous ne partagez que ce qu’il vous plaît de partager.
Vous pouvez également planifier une révision régulière de vos paramètres de confidentialité sur les sites web ou les plateformes que vous utilisez le plus. Profitez-en pour révoquer les autorisations qui ne vous servent pas ou avec lesquelles vous n’êtes pas à l’aise.
3. Exercer son droit à la portabilité des données
Le fait de pouvoir transférer vos données garantit la compétitivité des plateformes. Si vous trouvez un service qui répond mieux à vos besoins, présente de meilleurs tarifs ou que vous appréciez ses pratiques en matière de protection des données, vous pouvez facilement changer sans perdre vos données ni encourir de pénalités.
Recherchez la fonction « Exporter des données » ou une fonction similaire dans les paramètres de votre compte. Les plateformes conformes au DMA et au RGPD ont l’obligation de proposer cette option. Une fois vos données exportées, vous pouvez les charger sur un autre service de votre choix prenant également en charge la portabilité des données.
4. Choisissez des expériences plus individualisées
Adoptez des services personnalisés qui répondent à vos besoins et préférences spécifiques. En optant pour des expériences sur mesure, vous pouvez profiter des avantages de la personnalisation sans compromettre votre vie privée.
Lorsque vous vous inscrivez ou modifiez les paramètres de votre compte, choisissez l’activation ou la désactivation de la personnalisation. Certaines plateformes permettent de basculer facilement entre des expériences « personnalisées » et « standard ». Sélectionnez l’option avec laquelle vous êtes le plus à l’aise en matière de collecte de données.
Considérations finales pour les entreprises centrées sur le client
Les consommateurs sont plus sensibilisés que jamais et s’inquiètent de la protection de leurs données. Lors de la conception ou de la mise à jour de vos activités de traitement des données ou de la gestion du consentement, gardez à l’esprit que les utilisateurs sont plus attentifs, en particulier au contenu auquel ils consentent et aux autorisations qu’ils octroient. Ils sont moins susceptibles d’accepter de se restreindre et de ne pas pouvoir utiliser les plateformes ou les services qu’ils souhaitent et quand ils le souhaitent. Ils sont aussi plus sceptiques quant aux implications liées à l’utilisation de services plus « personnalisés ».