Comment le Digital Markets Act va-t-il se mettre en place ?

Le Digital Markets Act, ou législation sur les marchés numériques, va entrer en application début mai. Détail en deux épisodes de son fonctionnement et de ses effets attendus.

Entré en vigueur en novembre dernier, le Digital Markets Act (DMA), législation sur les marchés numériques en français, entrera en application en mai. Ce texte européen vise à encadrer la relation entre les géants numériques et les entreprises qui recourent à leurs services, tandis que sa législation sœur, le Digital Services Act, encadre les relations entre plateformes et consommateurs.

Les règlements sur les marchés et les services numériques expliqués :

• Comment le Digital Markets Act va-t-il se mettre en place ?
• Que va changer le Digital Markets Act en pratique ?
• Que change le Digital Services Act en pratique ?

Le règlement sur les marchés numériques est le résultat d’une proposition législative soumise par la Commission européenne au Parlement et au Conseil européen en décembre 2020. 

Pourquoi avoir créé une telle législation ? 

Le but du DMA : lutter contre les comportements jugés inéquitables ou exorbitants que peuvent imposer les fournisseurs de services numériques dits « essentiels », principalement des plateformes numériques, qui mettent en relation des acteurs (le plus souvent des entreprises) avec des bases immenses d’utilisateurs. Ce type d’acteur est désormais qualifié par l’Union Européenne de « contrôleur d’accès », gatekeeper en anglais.

Une autre visée du texte est d’éviter une dépendance numérique des sociétés clients envers les « services de plateforme essentiels » qu’elles utilisent. Autrement dit, le DMA vise à lutter contre les pratiques anticoncurrentielles des plus gros acteurs du numérique, afin de fluidifier les échanges sur le marché numérique et de faciliter la vie aux nouveaux entrants – en réduisant les coûts d’investissements que les plus grandes entreprises ont pu créer à l’entrée et à la sortie du marché, notamment.

En introduisant une régulation ex ante des géants numériques, comme le résumait dans une tribune Cédric O, à l’époque secrétaire d’État chargé de la Transition numérique, le DMA vient pallier les faiblesses des dispositifs existants. Plutôt pensés pour agir a posteriori, ou ex post, les règles plus anciennes ne suffisaient plus pour lutter contre les abus de position dominante spécifiques au monde numériques. En effet, les amendes qui en étaient issues arrivaient tard et ont longtemps atteint des montants assez faibles au regard des revenus des entreprises visées.

Quelles entreprises sont concernées par le DMA ? 

L’article 2 du règlement liste plusieurs types de « services de plateforme essentiels » qui seront directement touchés :

• les services d’intermédiations (plateformes de e-commerce, par exemple, qui ne vendent pas directement les produits ou applications, mais aussi fournisseurs d'accès à internet et bureaux d'enregistrement des noms de domaine),
• les moteurs de recherche,
• les réseaux sociaux,
• les plateformes de partage de vidéos,
• les messageries en ligne,
• les systèmes d’exploitation (téléviseurs compris),
• les navigateurs web,
• les assistants virtuels,
• les services d’informatique en nuage,
• les services publicitaires.

Quelque 10 000 plateformes numériques sont disponibles dans l’UE, dont 90 % sont proposées par de petites ou moyennes entreprises, selon la Commission européenne. « Seules les plus grandes entreprises peuvent faire face aux coûts de mise en conformité » qui résulte du DMA, écrit l’institution. Si le Digital Services Act (DSA) vise toutes les plateformes de services en ligne, le DMA s’attaque spécifiquement aux plus grosses entités, celles qui seront qualifiées de contrôleuses d’accès.

Qu’est-ce qu’un gatekeeper ?

L’Union Européenne définit comme contrôleur d’accès (gatekeeper) toute entreprise :

• en position économique forte, active dans au moins trois pays de l’Union et ayant de ce fait des effets significatifs sur le marché intermédiaire. Dans le détail, la société doit soit réaliser un chiffre d'affaires annuel de 7,5 milliards d’euros ou plus au sein de l’Union Européenne, soit présenter une valorisation boursière de 75 milliards d’euros ou plus.
• fournissant des services d’intermédiation forts – c’est-à-dire qu’un nombre conséquent d’entreprises repose sur ses services pour atteindre un grand nombre d’internautes. La société doit compter au moins 45 millions d’utilisateurs finaux mensuel, au moins 10 000 utilisateurs professionnels installés dans l’Union et être elle-même présente dans trois pays de l’UE au minimum.
• et stable et solide sur le marché, condition déclarée atteinte lorsque la société a rempli les deux critères précédents pendant les trois derniers exercices annuels.

En vertu de l’article 17 du texte, une entreprise qui ne remplit pas tous les critères cités ci-dessus peut tout de même être considérée comme contrôleuse d’accès. 

Pour qu’elle soit désignée comme telle, la Commission européenne aura dans ce cas enquêté sur une série d’attributs, parmi lesquels sa taille, estimée via son chiffre d’affaires et sa capitalisation boursière entre autres, le nombre d’entreprises qui l’utilisent pour atteindre des « utilisateurs finaux », les effets de réseau comme les effets d’échelle et de gamme dont elle profite, y compris en dehors de l’UE, les avantages qu’elle tire des données qu’elle exploite, la « captivité » de ses entreprises clientes et/ou des utilisateurs finaux – le texte vise aussi à réduire les pratiques qui complexifient les changements de fournisseurs –, ou encore sa structure, notamment si elle est conglomérale et lui permet ainsi de tirer des profits spécifiques de la multiplication de points de récupération de données.

Comment une entreprise est-elle désignée contrôleuse d’accès ? 

Dans l’idéal, selon l’article 3 du réglement, toute société correspondant aux seuils exprimés plus haut doit notifier la Commission sans délai et lui soumettre toute la documentation nécessaire (notamment relative à son chiffre d’affaires, au nombre d’entreprises qui utilisent son service, de même qu’au nombre d’utilisateurs finaux qu’elle atteint). La Commission a ensuite 45 jours pour étudier le dossier, délai à l’issue duquel elle désigne effectivement la société comme contrôleuse d’accès ou non. On parle de « décision de désignation ».

Si la société ne notifie pas la Commission, cette dernière peut aussi mener une enquête sur le marché, en vertu de l’article 17 du texte. À l’issue de ce processus, elle pourra désigner l’acteur contrôleur d’accès si nécessaire. Une fois désignée contrôleuse d’accès, l’entreprise a six mois pour se mettre en conformité avec le nouveau règlement. Au-delà, elle risque des sanctions.

Une désignation peut-elle être contestée, modifiée ou annulée ?

Une entreprise qui serait considérée contrôleuse d’accès peut s’en défendre auprès de la Commission et/ou demander un sursis pour s’adapter aux règles qui lui incomberont à partir de mai. La Commission, de son côté, est tenue de préciser ce qu’elle considère comme « service de plateforme essentiel » parmi les activités des entreprises visées – dans le cas de Google, illustre Frandroid, cela l’oblige par exemple à notifier que le moteur de recherche et le service de messagerie Gmail sont deux services de plateformes différents, tous les deux essentiels.

L’article 4 du règlement prévoit des conditions de réexamen de la désignation. Sur demande ou de son propre chef, la Commission peut revoir, modifier ou abroger une décision de (non) désignation parce que l’un des faits sur lesquels s’appuie sa décision a subi un changement important, ou parce que la décision initiale « repose sur des informations incomplètes, inexactes ou dénaturées ».

Quelles sont les obligations et interdictions des contrôleurs d’accès ? 

Les articles 5, 6, et 7 du règlement sur les marchés numériques définissent les différentes obligations reposant sur entreprises qualifiées de contrôleuses d’accès. Nous revenons plus en détail sur ces différentes évolutions dans notre article « Que va changer le Digital Markets Act en pratique ? », mais citons tout de même :

• l’interdiction de combiner les données à caractère personnel provenant de différents services de plateforme essentiel sans l’information et l’obtention du consentement de l’usager, que ces services soient fournis par la même entreprise ou issus de services tiers,
• l’interdiction d’inscrire d’office l’utilisateur d’un service à d’autres services fournis par le contrôleur d’accès,
• l’interdiction d’utiliser les données fournies par les entreprises qui utilisent le service de plateforme essentiel pour favoriser les propres services du contrôleur d’accès,
• l’obligation de permettre « la désinstallation facile par les utilisateurs finaux de toute application logicielle dans son système d’exploitation, sans préjudice »,
• ou encore l’obligation de permettre aux fournisseurs de services « d’interopérer efficacement avec les mêmes caractéristiques matérielles et logicielles ».

Que se passe-t-il en cas d’irrespect des lois ? 

En vertu de ses articles 30 et 31, les amendes pour non-respect du DMA pourront grimper jusqu’à 10 % du chiffre d'affaires annuel mondial d’une entreprise au cours de l’exercice précédent. Ce chiffre pourra grimper jusqu’à 20 % en cas de récidive. Si les entreprises ne se plient pas aux différentes obligations de notifications de la Commission ou d’adoption de mesures de conformité, elles encourent aussi le risque d’amendes s’élevant à 1 % de leur chiffre d’affaires mondial de l’exercice précédent. 

Pour contraindre une entreprise à respecter une décision, fournir des renseignements exacts ou « garantir l’accès aux données, algorithmes et renseignements » concernant certains produits, la Commission peut aussi prononcer des astreintes pour des montants susceptibles de grimper jusqu’à 5 % du chiffre d’affaires mondial journalier.

À partir de trois violations sur huit ans, la Commission pourra aussi décider d’ouvrir une enquête de marché. Parmi les autres mesures que prévoit le texte, des outils d’obligation de cessation d’activité, voire l’interdiction prononcée contre un groupe d’acquérir d’autres sociétés numériques.

Comment la Commission veillera-t-elle à l’application de la DMA ? 

Comme auparavant, la Commission européenne pourra ouvrir des enquêtes de marché, que ce soit pour déterminer la qualité de « contrôleuse d’accès » d’une entreprise (article 17), pour ausculter un soupçon de non-respect d’une règle du Digital Markets Act (article 18), ou encore parce qu’elle estime nécessaire de décortiquer de nouvelles pratiques ou de nouveaux services numériques (article 19). 

Le DMA soumet les entreprises à des obligations étendues de reporting, notamment en vertu de son article 8. L’article 14 du règlement accentue l’importance d’informer la Commission sur les opérations de fusions-acquisitions, tandis que l’article 15 oblige les entreprises à se soumettre à des audits de toutes leurs techniques de profilage des consommateurs.

Par ailleurs, l’article 12 du règlement prévoit la possibilité pour la Commission de mettre à jour les obligations des contrôleurs d’accès « afin de lutter contre les pratiques qui limitent la contestabilité des services de plateforme essentiels ou qui sont déloyales ». L’article 13, lui, établit des mesures « anticontournement » de son texte.

Les articles 37, 38 et 39 du règlement visent enfin à améliorer la coopération entre les institutions anticoncurrentielles des différents États membres, ce qui devrait aider à veiller sur les pratiques des « services de plateforme essentiels ». Les autorités nationales pourront d’ailleurs être sollicitées pour participer aux enquêtes de marché.

Les sanctions éventuellement prononcées dépendront des moyens (humains, techniques, financiers) mis en œuvre par la Commission pour veiller à l’application de la DMA, rappelle l’économiste Joëlle Toledano dans une chronique des Échos – point rappelé dans le texte du réglement lui-même. En septembre, la task force de la Commission dédiée à la DMA ne comptait encore que 80 personnes, ce qui peut sembler faible. 

Quel est le calendrier ? 

Préparée par Margrethe Vestager, alors vice-présidente de la commission européenne charge de promouvoir une Europe adaptée à l’âge numérique, et par Thierry Breton, commissaire européen chargé du marché intérieur, la proposition législative de la Commission européenne a été soumise au Parlement et au Conseil européen le 15 décembre 2020. 

La Commission européenne est parvenue à un accord en mars 2022, le Parlement européen a voté texte le 5 juillet 2022 puis le Conseil de l’Union européenne l’a approuvé le 4 octobre 2022. Publié le 12 octobre 2022, le DMA est entré en vigueur le 1er novembre 2022 pour un début d’application le 2 mai. 

Les potentiels contrôleurs d’accès auront jusqu’à juin/juillet pour se signaler à la Commission, qui désignera les premiers d’entre eux d’ici la fin de l’été. En définitive, le DMA s’appliquera totalement à partir de mars 2024.

Entre temps, la commission réalise une série de réunions de travail avec différents acteurs du marché pour travailler sur la mise en place des obligations créées par le DMA en pratique. Certaines entreprises comme Google s’adaptent au règlement en avance, ce qui semble à la fois être une bonne idée – cela permet de tester la réaction du public – et en inquiète certains, qui craignent que cela permette aux premiers arrivants de fixer les standards précis selon lesquels chaque obligation sera mise en place.