L’Union européenne cherche à réguler les espaces numériques. Elle se positionne comme une pionnière en la matière, via les dispositifs législatifs qu’elle met en place, en particulier le Digital Service Act (DSA) et le Digital Market Act (DMA).
L’ambition de l’Union, traduite par ces règlements, est de sécuriser et de réguler les espaces numériques en faisant peser sur les acteurs du numérique des obligations et des responsabilités en cohérence avec leur rôle et leurs pouvoirs effectifs sur les marchés, sur les droits fondamentaux et sur la sécurité des utilisateurs.
Le DSA et le DMA sont deux règlements d’application directe, ce qui permet d’assurer une protection cohérente, uniforme et efficace sur l’ensemble du territoire de l’Union européenne.
Ils entrent progressivement en application depuis 2022 et seront intégralement applicables à partir de février 2024 pour le DSA et mars 2024 pour le DMA.
I. Le Digital Service Act
Le règlement (UE) 2022/2065, dit « DSA », a été adopté le 19 octobre 2022.
Il actualise le dispositif existant en modifiant la directive 2000/31/CE (dite « directive commerce électronique ») devenue obsolète. En effet, les services numériques ont conduit à des transformations sociétales et économiques profondes. Ils sont à l’origine de nouveaux modes d’expression des droits et libertés des citoyens européens, mais sont également sources de risques et défis nouveaux.
L’entrée en vigueur du DSA est progressive : les dispositions concernant les « très grandes » plateformes et moteurs de recherche sont applicables depuis le 25 août 2023, alors que le reste de ses dispositions sera applicable à compter du 17 février 2024.
Le DSA a été conçu afin de sécuriser les espaces numériques et d’éviter qu’ils deviennent des zones de « non-droit ».
Ce règlement vise à responsabiliser les fournisseurs de services intermédiaires en les impliquant davantage dans la lutte contre la diffusion de contenus illicites (racisme, haine, pédopornographie, désinformation, …) et de produits illégaux (contrefaçon, drogue, …).
Ce dispositif pallie les insuffisances de la directive « commerce électronique » et doit fixer un cadre de régulation moderne et à l’épreuve du temps. Il doit assurer une meilleure protection des droits fondamentaux des internautes et renforcer leur sécurité, sans pour autant brider le développement des services numériques.
Le DSA impose de nouvelles obligations aux personnes qui proposent des « services intermédiaires » dans l’UE. Pour assurer l’effectivité du DSA, le critère d’application géographique est relié au lieu d’établissement ou de résidence des destinataires du service, et pas au lieu d’établissement du fournisseur du service.
La notion de « service intermédiaire » recouvre les prestations de services de transport d’informations, de mise en cache ou d’hébergement ainsi que les moteurs de recherche en ligne.
Les plateformes en ligne sont particulièrement visées par le DSA, au titre de leur activité de prestataire de service d’hébergement. Elles incluent notamment les places de marché en ligne, les boutiques d’application, les réseaux sociaux ou encore les plateformes de partage de contenus.
Tous les services intermédiaires sont concernés par le DSA. Toutefois, ce règlement est fondé sur une approche asymétrique : des obligations renforcées ont été prévues pour les « très grandes plateformes » et « très grands moteurs de recherche ». Cette approche doit permettre une meilleure appréhension de la réalité et avoir une incidence positive sur la compétitivité et l’innovation dans les services numériques.
Est considéré comme une « très grande plateforme » ou un « très grand moteur de recherche » un service dont le nombre mensuel moyen de destinataires actifs dans l’UE est au moins égal à 45 millions.
Le DSA distingue les dispositions applicables aux différents types de fournisseurs de service intermédiaire, afin de s’adapter, de manière graduelle, au rôle, à l’influence et au pouvoir réels de ces acteurs particulièrement variés.
Tous les fournisseurs de services intermédiaires sont tenus, a minima :
Les fournisseurs d’hébergement (dont les plateformes en ligne) sont, par ailleurs, tenus :
S’ajoutent, pour les fournisseurs de plateforme en ligne (à l’exclusion des micro-entreprises et petites entreprises), les obligations suivantes :
En outre, les fournisseurs de plateformes permettant aux consommateurs de conclure des contrats à distance avec les professionnels (à l’exclusion des micro-entreprises et petites entreprises) sont tenus :
Plus spécifiquement, les très grandes plateformes et très grands moteurs de recherche sont soumis aux obligations suivantes :
Les Etats membres déterminent et assurent la mise en œuvre des sanctions des violations du DSA.
Le montant des amendes infligées pour violation du DSA peut atteindre 6% du chiffre d’affaires mondial annuel du fournisseur de service intermédiaire concerné. En cas de manquement dans les informations transmises, l’amende peut représenter jusqu’à 1% du chiffre d’affaires mondial annuel.
Des astreintes peuvent être prononcées pour un montant allant jusqu’à 5% du chiffre d’affaires mondial journalier moyens du fournisseur de services intermédiaires.
II. Le Digital Market Act
Le règlement (UE) 2022/1925, dit « DMA », a été adopté le 14 septembre 2022.
Son entrée en vigueur est également progressive. Il a commencé à s’appliquer à la date du 2 mai 2023. Cependant, les contrôleurs d’accès n’ayant été désignés que le 6 septembre 2023, ils ont jusqu’au 6 mars 2024 pour se conformer aux dispositions du DMA.
Le DMA a été conçu à la suite d’un constat : un petit nombre de grandes plateformes en situation de quasi-monopole capte l’écrasante majorité de la valeur générée par l’économie numérique et bénéficie d’écosystèmes étouffant le développement de la concurrence. Le DMA vient compléter le droit de la concurrence, qui fonctionne selon un mécanisme de sanction ex post, par un dispositif de régulation ex ante.
Le DMA vient lutter contre les pratiques anti-concurrentielles des grands acteurs du numériques et corriger les déséquilibres liés à leur domination du marché numérique
Ce dispositif doit permettre aux utilisateurs finaux et aux entreprises utilisatrices de bénéficier pleinement de l’économie numérique, sur des marchés contestables et équitables.
Le DMA encadre l’activité des « contrôleurs d’accès », aussi appelés « gatekeepers », qui proposent des « services de plateformes essentiels » à des entreprises utilisatrices ou à des utilisateurs finaux établis au sein de l’UE. De la même manière que pour le DSA, le lieu d’établissement du fournisseur du service est indifférent.
Le DMA fixe une liste exhaustive de « services de plateforme essentiels ». Elle inclut les services d’intermédiation, les moteurs de recherche, les réseaux sociaux, les plateformes de partage de vidéos, les services de communications interpersonnelles non fondés sur la numérotation, les systèmes d’exploitation, les navigateurs, les assistants virtuels, les services d’informatique en cloud et les services de publicité en ligne. Ont notamment été identifiés comme des services de plateforme essentiels : Amazon®, Google Search®, Tiktok®, Facebook®, Instagram®, Youtube®, WhatsApp®, iOs® ou encore Safari®.
Un « contrôleur d’accès » est une entreprise qui, en plus de fournir des services de plateforme essentiels :
Ainsi, contrairement au DSA, le DMA ne vise que les acteurs systémiques qui profitent d’une position particulièrement importante sur le marché numérique. Ce champ d’application restreint est en cohérence avec l’objectif du texte, qui est de pallier les effets négatifs issus de la domination du marché par certains grands acteurs.
La Commission européenne a actuellement identifié 6 contrôleurs d’accès : Alphabet (Google), Amazon, Apple, Meta, Microsoft et ByteDance (Tiktok).
Le DMA met à la charge des contrôleurs d’accès plusieurs obligations afin d’améliorer la contestabilité et la loyauté des marchés numériques.
Certaines de ces obligations assurent aux entreprises utilisatrices une certaine indépendance vis-à-vis des contrôleurs d’accès, telles que :
D’autres obligations sont davantage orientées vers la protection des utilisateurs finaux et de leur liberté de choix, comme par exemple :
Le DMA impose également aux contrôleurs d’accès des restrictions en matière de traitement des données personnelles des utilisateurs. Il interdit la publicité ciblée sans le consentement de l’utilisateur ainsi que le croisement des données d’un même utilisateur ayant recours à plusieurs services fournis par le même contrôleur d’accès.
Enfin, le contrôleur d’accès doit faire preuve de transparence envers la Commission européenne :
En cas de non-respect du DMA, la Commission européenne peut sanctionner le contrôleur d’accès par une amende allant jusqu’à 10% de son chiffre d’affaires total mondial, voire 20% en cas de récidive.
En cas de manquement à leurs obligations d’informations, la Commission peut condamner les contrôleurs d’accès à une amende allant jusqu’à 1% de leur chiffre d’affaires total mondial.
Des astreintes peuvent également être prononcées, pour un montant allant jusqu’à 5% du chiffre d’affaires journalier moyen du contrôleur d’accès concerné.
19.02.2024
Maélys SAINGRA