Le règlement sur les marchés numériques (DMA)

Apple doit ouvrir son iPhone à d’autres App Stores, Meta doit permettre à WhatsApp de communiquer avec d’autres services de messagerie. De telles obligations imposées aux géants technologiques résultent de l’European Digital Markets Act (DMA), ou règlement de l’UE sur les marchés numériques adopté le 5 juillet 2022 et entré en vigueur en novembre 2022. Il contient une série de règles destinées aux grandes entreprises technologiques influentes, appelées « gatekeeper » (ou contrôleurs d’accès).

L’UE a donné à ces entreprises un délai pour se conformer aux nouvelles règles relatives à certains de leurs produits et services, connus sous le nom de « services de plateforme essentiels ». Ce délai expire le 6 mars 2024. Passée cette date, ces grandes entreprises technologiques sont passibles de sanctions si elles ne se conforment pas au DMA.

Quelle est l’idée du Digital Markets Act ?

L’objectif du règlement sur les marchés numériques est d’empêcher aux grands contrôleurs d’accès d’influer sur le développement du marché numérique, sur l’innovation, sur la règlementation en matière de protection des données ou de la concurrence, grâce à leur taille, à leur l’importance et à leurs parts de marché exorbitant.

Cette énorme influence permet également à ces grandes entreprises de grandir facilement sans contrepartie et d’imposer une concurrence déloyale aux petites et moyennes entreprises. Les consommateurs et consommatrices que nous sommes en souffrent aussi en raison du choix limité d’appareils et de services, doivent payer le prix fort et accepter les conditions imposées par les entreprises.

Le Digital Markets Act doit aider à remédier à ce problème et garantir un fonctionnement équitable du marché numérique. Le règlement sur les marchés numériques fixe des obligations pour les entreprises afin de s’assurer qu’elles n’abusent pas de leur position sur le marché et qu’elles protègent la vie privée de leurs clients, en traitant leurs données de manière responsable. Pour cette raison, le Digital Markets Acts a été conçu comme une loi contre le monopole des grandes entreprises numériques.

Le cadre légal du Digital Markets Act

Le règlement appelé communément « DMA » s’intitule dans son intégralité :

« Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) ».

Il se base sur le « Traité sur le fonctionnement de l’Union européenne », en particulier le « Titre VII : Règles communes sur la concurrence, la fiscalité et le rapprochement des législations » (à partir de la page 42 du PDF lié ci-dessus) et l’étend dans certains scénarios.

Les principaux termes expliqués

Je résume ici les points les plus importants du DMA. Il s’agit des entreprises concernées par la loi, des services qui doivent être modifiés et de l’impact de ces changements sur les consommateurs et consommatrices européens. Pour avoir de plus amples informations à ce sujet, veuillez consulter la synthèse de la législation de l’UE, disponible dans toutes les langues officielles sur le site officiel EUR-Lex. La version française est disponible ici.

Qui sont les contrôleurs d’accès ?

Les contrôleurs d’accès ou « gatekeepers » sont les grandes entreprises de technologie désignées au chapitre II, article 3 du DMA, notamment celles qui :

• « occupent une position économique forte, ont une incidence significative sur le marché intérieur et sont actives dans plusieurs pays de l’UE » ;
• « occupent une position d’intermédiation forte, ce qui signifie qu’elles relient une base d’utilisateurs importante à un grand nombre d’entreprises » ;
• « jouissent ou jouiront dans un avenir proche d’une position solide et durable sur le marché. » Sont considérées comme entreprises « stables dans le temps », celles ayant rempli les deux critères ci-dessus au cours de chacun des trois derniers exercices.

La commission de l’UE désigne six contrôleurs d’accès, mais cette liste n’est pas exhaustive. Actuellement, il s’agit de :

• Alphabet (la société mère de Google) ;
• Amazon ;
• Apple ;
• ByteDance (la société mère de TikTok) ;
• Meta (la société mère de Facebook, Instagram, WhatsApp et Threads) ;
• Microsoft.

Ces entreprises sont actuellement concernées par la législation et doivent respecter certaines obligations concernant leurs produits et leurs services.

Qu’est-ce qu’un « service de plateforme essentiel » ?

Certaines de ces obligations touchent l’entreprise dans son ensemble, d’autres se réfèrent à des parties de l’entreprise, à des services ou produits spécifiques. Dans ce cas, on parle de « service de plateforme essentiel ».

La loi définit le service de plateforme essentiel comme un « (...) service indispensable au fonctionnement d’une entreprise numérique. », des moteurs de recherche, des navigateurs, des réseaux sociaux et bien plus encore. À ce jour, l’UE a désigné 22 services des six contrôleurs d’accès comme « services de plateforme essentiels ».

Google

• Moteur de recherche et service de publicité : Google
• Plateforme de partage de vidéos : YouTube
• Navigateur : Chrome
• Système d’exploitation : Android
• Plateforme d’intermédiation : Google Maps, Google Play, Google Shopping

Meta

• Services de communication : Facebook Messenger, WhatsApp
• Service de publicité : Meta
• Réseaux sociaux : Facebook, Instagram
• Plateforme d’intermédiation : Meta Marketplace

Apple

• Navigateur : Safari
• Système d’exploitation : iOS
• Plateforme d’intermédiation : iOS App Store

Microsoft

• Systèmes d’exploitation : Windows

• Réseaux sociaux : LinkedIn

• ByteDance

• Réseaux sociaux : TikTok

Amazon

• Service de publicité : Amazon
• Plateforme d’intermédiation : Amazon Marketplace

D’autres services peuvent être ajoutés à cette liste si un examen effectué par l’UE permet de conclure qu’un service peut être qualifié de « service de plateforme essentiel ». Le DMA définit dans quel cas un tel examen peut et doit être effectué au chapitre IV, article 19. Les exceptions à cette règle figurent au Chapitre III Art. 9 et 10 DMA.

Les obligations des contrôleurs d’accès

Les obligations d’un contrôleur d’accès sont définies de manière dynamique dans le DMA au chapitre III à partir de l’article 5 et suivants. Cela signifie que certaines obligations peuvent s’y ajouter ou même être supprimées.

Les principales obligations sont :

Interopérabilité et non-discrimination

Conformément au chapitre III, art. 7 du DMA, les contrôleurs d’accès doivent veiller à l’interopérabilité de leurs services et plateformes avec ceux des fournisseurs tiers. Selon le Robert, l’interopérabilité est la « capacité de systèmes, unités, matériels à opérer ensemble ». En d’autres termes, les services de différents fournisseurs peuvent être connectés et communiquer entre eux sans l’intervention des utilisateurs et utilisatrices. Cela concerne surtout l’accès aux données ou le transfert de ces dernières. L’UE compte ainsi promouvoir la compétitivité et empêcher les contrôleurs d’accès d’obtenir des avantages excessifs.

Un exemple concret : le contrôleur d’accès Meta doit veiller à ce que vous puissiez utiliser son service de plateforme pour envoyer des messages WhatsApp à un utilisateur ou à une utilisatrice de Signal, si Signal le souhaite. Signal n’est pas un contrôleur d’accès et donc pas tenu d’être interopérable. Mais, étant donné que Signal a critiqué publiquement et à plusieurs reprises la politique de protection des données de WhatsApp, un tel scénario ne se produira certainement pas.

L’« obligation de non-discrimination » garantit le traitement équitable de toutes les entreprises et tous les utilisateurs par les contrôleurs d’accès. Ces derniers ne doivent pas privilégier leurs propres produits ou ceux de leurs partenaires directs.

Un exemple concret : si vous recherchez via Google un service de messagerie, Google n’est plus autorisé à donner la priorité à Gmail dans les classements de recherche.

Portabilité des données et accès aux données

Conformément au chapitre III, article 6, paragraphe 9 du DMA, un contrôleur d’accès doit assurer à un utilisateur final et à un tiers autorisé par ce dernier « un accès continu et en temps réel aux données générées par l’activité de l’utilisateur final dans le cadre de l’utilisation du service de plateforme essentiel concerné ». En outre, la « portabilité effective des données » doit être garantie. Cela signifie qu’un contrôleur d’accès doit permettre à un utilisateur de transférer facilement ses données d’une plateforme à une autre et de changer de service.

Un exemple concret : vous utilisez Chrome comme navigateur standard et souhaitez passer à Opera. Google doit vous permettre de télécharger l’ensemble des contenus – historique des recherches, paramètres des cookies, historique de navigation, etc. – dans un format utilisable et de les télécharger sur Opera, et de vivre une expérience d’utilisation fluide.

Transparence et profilage

L’article 5, paragraphe 2 du DMA définit la manière dont un contrôleur d’accès doit collecter des données, ce qu’il peut en faire et, surtout, ce qu’il ne peut pas faire. Ce sont les règles du profilage dont voici les principaux points :

• il ne doit pas utiliser les données personnelles de services de tiers qui sont eux-mêmes ses clients ;
• il ne doit pas non plus combiner ou utiliser les données à caractère personnel provenant de plusieurs de ses services de plateforme essentiels ;
• il est tenu de ne pas inscrire un utilisateur à d’autres services de son portefeuille sans son consentement, à moins que celui-ci ait donné son consentement au sens de l’article 4, point 11), et de l’article 7 du règlement (UE) 2016/679. Il existe également des règles de transparence expliquées dans le paragraphe suivant.

Voici des exemples concrets :

• si vous cliquez sur une publicité diffusée par Zalando sur Instagram, Instagram (donc Meta) ne peut pas réutiliser vos données fournies à Zalando pour des services publicitaires ;
• Meta ne peut pas combiner les données collectées via WhatsApp et Instagram (par ex. pour en savoir plus sur vous) ou les utiliser pour l’affichage publicitaire ;
• Meta ne doit pas créer de compte Facebook à votre nom si vous vous êtes inscrit uniquement sur Insta.

L’obligation de transparence impose au contrôleur d’accès de toujours solliciter le consentement de l’utilisateur pour collecter et traiter ses données. En outre, il est tenu de l’informer de la manière dont il collecte les données, de la raison pour laquelle il le fait et de la durée. L’utilisateur peut refuser son consentement ou le révoquer ultérieurement. La loi oblige également les contrôleurs d’accès à solliciter votre autorisation de manière compréhensible par tous. Facebook ne peut donc pas, comme auparavant, vous présenter un document de trente pages en « jargon juridique », où vous ne pouvez que cliquer sur « oui » ou « non ». Les « dark patterns » (interfaces truquées) ne sont également plus autorisés. C’est le cas lorsque le bouton d’approbation est énorme et coloré, et celui de refus est caché en gris et en minuscules caractères tout en bas.

Que se passe-t-il si les entreprises ne respectent pas les obligations ?

L’Union européenne a prévu dans le chapitre V, article 30 plusieurs sanctions pour les entreprises fautives, dont des amendes sévères jusqu’à concurrence de 10 % de leur chiffre d’affaires total réalisé au niveau mondial. Ces amendes peuvent aller jusqu’à 20 % si les entreprises enfreignent ces règles de manière répétée.

En cas de « non-respect systématique »"(chapitre V, article 29) de leurs obligations, la Commission peut infliger des astreintes pouvant aller jusqu’à 5 % du chiffre d’affaires journalier moyen réalisé par les entreprises concernées (chapitre V, article 31 DMA). Ou alors prendre des « mesures correctives », certaines dispositions et sanctions pour obliger les entreprises fautives à se conformer à la règlementation. Mais pour cela, il faut mener (une enquête de marché) (chapitre IV, article 16 DMA) pour déterminer s’il y a un « non-respect systématique ».

Quel est l’impact du DMA sur la Suisse ?

Le DMA a été adopté par le Conseil européen et le Parlement européen. D’un point de vue juridique, cela n’a aucun effet pour les citoyens et les entreprises en Suisse. Cela signifie qu’elles ne sont pas tenues de respecter les règles du DMA en Suisse. Certes, la conseillère nationale Min Li Marti (PS/ZH) a déposé le 8 mars 2023 une motion proposant une modification de la loi suisse pour se conformer à la nouvelle législation européenne sur les marchés numériques (Digital Markets Act, DMA).

Toutefois, le Conseil national n’a pas encore décidé de se pencher sur la motion et d’en débattre. En revanche, le Conseil fédéral a déjà pris position et recommande de rejeter la motion. Il justifie cette recommandation par le fait que les objectifs essentiels du DMA sont déjà en principe mis en œuvre par la législation existante, notamment dans le droit des cartels, par exemple avec « l’instrument lié au pouvoir de marché relatif » (art. 7 de la loi sur les cartels (LCart ; RS 251). Des mesures provisoires peuvent également être ordonnées dans certains cas.

C’est maintenant au Conseil national de décider s’il souhaite examiner cette motion. Si c’est le cas, il dispose de deux ans pour délibérer. Si la motion est adoptée, elle sera transmise au Conseil des États pour examen.

Il faudra donc patienter avant qu’une décision finale ne soit prise. Une chose est sûre : la Suisse n’échappera pas à certains changements qui permettront par exemple aux Suisses et Suissesses de télécharger toutes leurs données sauvegardées auprès d’un service. Cette possibilité leur est déjà partiellement offerte. Il n’y aura probablement pas d’autres changements, comme les magasins d’applications alternatifs d’Apple. Ce dernier ne fait que le strict minimum pour se conformer à cette loi, probablement uniquement là où il doit le faire. L’avenir nous édifiera sur la suite de la procédure.