Le Digital Services Act (DSA) et le Digital Markets Act (DMA) visant à réguler l’espace numérique européen ont passé la première lecture au Parlement européen (1). Ils devraient entrer en vigueur cet automne.
Le règlement sur les marchés numériques (DMA) et le règlement sur les services numériques (DSA) sont deux textes majeurs. Ils ont été proposés fin 2020 par la Commission européenne afin de mettre en place un marché unique numérique et de d’encadrer la responsabilité des intermédiaires.
Le DSA a pour objectif de créer un espace numérique européen plus sûr en protégeant les droits fondamentaux des utilisateurs. Le 23 avril 2022, il avait un accord provisoire sur ce règlement qui s’appliquera soit 15 mois après son entrée en vigueur, soit au plus tard le 1er janvier 2024. Une exception vaut ici pour les grandes plateformes qui devront l’appliquer 4 mois après leur désignation.
Le DMA vise à établir et garantir des conditions de concurrence équitables sur le marché numérique.
Les acteurs concernés par le DSA
Le DSA vise à :
- lutter contre la dissémination des contenus illicites ou préjudiciables,
- garantir les droits fondamentaux,
- renforcer la transparence des entreprises dans l’espace numérique (3).
Il s’applique à toutes les entreprises qui proposent des services intermédiaires aux utilisateurs européens :
- fournisseurs d’accès à internet, de messageries, de réseaux sociaux, de services de nuage,
- places de marché,
- hébergeurs et notamment les plateformes et les moteurs de recherche en ligne.
Des règles spécifiques visent les grandes plateformes et les grands moteurs de recherche en ligne qui comptent plus de 45 millions d’utilisateurs actifs par mois (soit 10% de la population européenne).
Les principales obligations imposées par le DSA aux acteurs
Pour limiter la diffusion de contenus illicites et unifier les procédures de notification et de retrait de ces contenus, le DSA met en place plusieurs obligations.
Il prévoit que les hébergeurs permettent à leurs utilisateurs de signaler les contenus illicites qui devront ensuite être retirés ou désactivés.
Les plateformes devront par ailleurs coopérer avec des « signaleurs de confiance ». Il s’agit d’organes ou individus dans chaque Etat qui s’occuperont de ce traitement en priorité.
En outre, la publicité ciblée sera interdite face aux mineurs. Pour toute autre publicité, les plateformes auront l’interdiction de se baser sur :
- la religion,
- les préférences sexuelles,
- les convictions politiques et
- les informations de santé.
La transparence de cette publicité ciblée et des recommandations constitue une autre obligation pour les plateformes.
Les grandes plateformes seront en outre tenues de réduire les risques découlant de l’utilisation de leurs services et par la suite analyser cette réduction.
Le DSA vise en même temps à garantir le respect de la liberté d’expression des utilisateurs. Ces derniers devront être informés avant le retrait de leurs contenus considérés comme illicites. Ainsi, les contenus préjudiciables mais licites ne pourront pas être supprimés directement mais encadrés dans leur propagation.
Enfin, les entreprises installées hors de l’UE devront désigner un représentant légal dans un Etat membre de l’UE.
Les principales règles de mise en œuvre prévues par le DSA
Les États membres surveillent eux-mêmes les petites plateformes et la Commission s’occupera des grandes plateformes et moteurs de recherche.
Le DSA exige en outre de nommer une autorité ayant le statut de « coordinateur des services numériques » (CSN) dans chaque Etat. Elle aura la responsabilité de saisir la justice en cas d’irrégularités.
L’ensemble des coordinateurs fait partie d’un « comité des coordinateurs nationaux des services numériques » (dénommé le Board). Il assure la coopération, mène des enquêtes conjointes et contacte la Commission en cas de crise.
Les sanctions prévues de la DSA seront définies par chaque Etat membre sans toutefois dépasser :
- 6% du revenu ou chiffre d’affaires annuel de la société
- 1% de ce revenu en cas d’informations incorrectes ou de refus d’enquête sur place.
Les astreintes quant à elles, ne pourront dépasser 5% du chiffre d’affaires journalier moyen.
Les acteurs concernés par le DMA
Les principaux objectifs du DMA sont :
- de garantir l’aspect innovant et ouvert des marchés numériques à la concurrence
- d’assurer l’équilibre et la loyauté des relations commerciales entre les grands acteurs et leurs partenaires commerciaux.
Le DMA démontre ainsi une dimension économique et concurrentielle.
Le DMA ne concerne que les grandes plateformes qui font du « gatekeeping » entre une entreprise et un utilisateur (contrôleurs d’accès).
Ces plateformes doivent cumuler les caractéristiques suivantes :
- Avoir un impact significatif sur le marché intérieur :
- au moins 7,5 milliards d’euros de chiffre d’affaires réalisés dans l’Espace économique européen ou
- une capitalisation boursière d’au moins 75 milliards d’euro avec une activité dans au moins 3 Etats membres
- Servir de passerelle importante : le contrôle d’un point d’accès important (moteur de recherche, réseau social, etc.) avec :
- plus de 45 millions d’utilisateurs européens actifs par mois et
- plus de 10 000 d’utilisateurs européens actifs professionnels par an
- Avoir une position ancrée et durable : avoir dépasser ces seuils au cours de chacun des trois années précédentes
Ces entreprises devront s’identifier comme contrôleur d’accès auprès de la Commission qui déterminera par la suite si cette désignation est applicable ou non. Elle pourra également désigner une plateforme comme contrôleur d’accès sur la base d’une évaluation qualitative, ou en exempter une qui correspond formellement aux critères.
Les critères seront réévalués au moins tous les deux ans.
Les principales obligations imposées par le DMA
Les contrôleurs d’accès n’auront pas le droit d’imposer les logiciels principaux ou des applications par défaut, leur désinstallation devra être possible.
De même, les contrôleurs d’accès devront autoriser les utilisateurs professionnels à promouvoir leur offre et à conclure des contrats avec leurs clients en dehors de sa plateforme.
Ils doivent aussi fournir aux annonceurs et aux éditeurs, à leur demande et gratuitement, l’accès aux données générées par ses activités et à celles qui sont liées aux annonces publicitaires pour qu’ils puissent effectuer leur propre vérification indépendante des publicités hébergées par sa plateforme.
En outre, l’interopérabilité entre les différents services devra être garantie, même entre les principaux services de messagerie et les plus modestes.
L’accord du 24 mars 2022 a ajouté de nouvelles précisions au règlement. Ainsi, une plateforme n’aura plus le droit d’associer des données personnelles d’un utilisateur sans son consentement explicite à des fins de publicité ciblée.
Cependant, ces obligations ne seront pas absolues. Elles pourront être suspendues en raison de circonstances exceptionnelles dans lesquelles la viabilité économique du fonctionnement d’une plateforme est menacée ou encore pour un motif de moralité publique, santé publique ou de sécurité publique.
Les principales règles de mise en œuvre prévues par le DMA
Contrairement à la mise en œuvre de la DSA, la Commission sera responsable pour tous les contrôleurs d’accès désignés. Les autorités nationales de concurrence se verront dans la position de pouvoir faire des enquêtes et de les transmettre par la suite à la Commission.
Pour les sanctions, le DSA prévoit que la Commission soit chargée d’adopter une décision de conformité précisant les mesures concrètes à mettre en œuvre par le contrôleur d’accès.
Si ce dernier ne s’incline pas, des amendes allant jusqu’à 10% de son chiffre d’affaires annuel mondial total et des astreintes allant jusqu’à 5% de son chiffre d’affaires annuel mondial total pourront suivre.
En cas de récidive le montant de l’amende pourra augmenter jusqu’à 20% du chiffre d’affaires et si la Commission constate un non-respect systématique, elle pourra même interdire à la plateforme l’acquisition d’autres entreprises pour un certain temps.
Virginie Bensoussan-Brulé,
Raphaël Liotier
Amélie Reilhac, étudiante en droit, double licence en droit à l’Université Panthéon Assas et en informatique à Sorbonne Université
Lexing Informatique et libertés
(1) Digital markets act, P9_TA(2022)0270 approuvé le 5 juillet 2022 et Digital services act, P9_TA(2022)0269 approuvé le 5 juillet 2022.
(2) Commission européenne, « Train de mesures sur les services numériques ».
(3) Lexing, Alexandra Massaux, « Le DSA : la régulation des TPG, plateformes à risque systémique », post du 26 janvier 2021.