Accueil I
Le DMA (Digital Market Act) devrait entrer en vigueur en octobre 2022. Il vise à introduire de nouvelles dispositions pour les « contrôleurs d’accès » ces entreprises susceptibles de contrôler l’accès au marché numérique. Ce règlement contre les pratiques anti-concurrentielles va protéger les entreprises contre les tentatives des géants du numérique d’empêcher l’émergence de toute concurrence. Il prévoit aussi d’interdire aux GAFAM des conditions générales d’utilisation de leurs sites qui seraient préjudiciables à ces entreprises mais également aux utilisateurs finaux de leurs services.
L’accord final prévoit que, pour être qualifiée de « contrôleur d’accès » une entreprise devra dans les 3 dernières années, soit réaliser un chiffre d’affaires d’au moins 7,5 milliards d’euros au sein de l’UE, soit avoir réalisé une valorisation boursière de 75 milliards d’euros. Elle doit en outre compter au moins 45 millions d’utilisateurs finaux mensuels et au moins 10 000 entreprises utilisatrices dans l’UE. Par ailleurs le « contrôleur d’accès » devra avoir le contrôle d’un ou plusieurs services de « plateforme de base » dans au moins 3 pays membres de l’UE. Ces services de « plateforme de base » incluent les places de marché et les boutiques d’applications, les moteurs de recherche, les réseaux sociaux, les services de « cloud », les services de publicités, les assistants vocaux et les navigateurs web.
Il est créé également une catégorie de « contrôleurs d’accès émergents » c’est-à-dire ceux dont la position naissante sur les marchés pourrait s’apparenter dans un avenir proche à celles des géants du net. Ce sera à la Commission de les identifier et de leur imposer si elle l’estime nécessaire certaines obligations.
L’Institut considère que la position du Conseil et de la Commission qui avaient fixé des seuils quantitatifs plus bas, permettait de soumettre au règlement des acteurs du numérique qui, bien que n’étant pas les GAFAM représentent cependant des points d’accès essentiels et peuvent tout-à-fait avoir des comportements aussi préjudiciables pour les entreprises et les utilisateurs que les géants du numérique. La liste de toutes les plateformes qui pourraient être soumises au règlement n’a pas encore été clarifiée lors du dernier trilogue, il va donc falloir attendre d’avoir connaissance du texte définitif.
L’Institut considère par ailleurs que l’ajout de dernière minute de « contrôleurs d’accès émergents » pourrait peut-être compenser ce choix final de seuils quantitatifs plus hauts, et permettre l’inclusion au cas par cas dans le règlement un certain nombre de ces plateformes moyennes. Ce compromis se rapprocherait ainsi de la position que nous défendions et qui consistait à n’exclure que les très petites entreprises. – Nous suivrons de près l’évolution du règlement sur ce point.
En revanche, l’Institut craint que les dispositions du processus d’application du texte soient longues et compliquées à mettre en œuvre. En effet à partir de l’entrée en vigueur du texte, il appartiendra à la Commission d’engager la procédure de désignation des entreprises qui répondront à la définition du « contrôleur d’accès » Il n’est pas exclu de penser qu’il y aura des désaccords entre la Commission et certaines plateformes qui réfuteront le secteur d’activité qui leur sera notifié… et une fois un accord trouvé, les « contrôleurs d’accès » auront 6 mois pour appliquer le texte…Les premières mises en conformité ne se feront sans doute pas avant début 2024, si tout va bien.
LES CŒURS D’ACTIVITE.
L’accord final du 24 mars comprend dix cœurs d’activité. Les huit coeurs d’activité proposés par la Commission, dont les moteurs de recherche, les réseaux sociaux, les places de marché, les services d’intermédiation, de cloud ou encore des services publicitaires. S’y est ajouté deux demandes du Parlement, les navigateurs web, les assistants virtuels, Il faut préciser que dans un considérant les TV connectées sont des systèmes d’exploitation.
PROCESSUS DE DESIGNATION.
Il s’agit de définir la manière dont le règlement va s’appliquer pour désigner les contrôleurs d’accès et dans quels délais. Dans les faits, une plateforme qui atteint les seuils quantitatifs doit informer la Commission et celle-ci doit valider sa désignation comme « contrôleur d’accès ». La Commission peut aussi la désigner si elle n’atteint pas ces seuils, mais contrôle effectivement l’accès à un marché.
L’entreprise peut également présenter des arguments à la Commission pour réfuter sa désignation même en atteignant les seuils.
Dans l’accord final, la Commission obtient des pouvoirs plus étendus pour agir contre un « contrôleur d’accès » qui ne se sera pas déclaré dans les délais qui lui sont impartis ne coopèrera pas à l’enquête destinée à vérifier son statut. Ces plateformes pourront néanmoins contester leur désignation. Le statut de « contrôleur d’accès » doit être révisé au moins tous les trois ans.
LES OBLIGATIONS GENERALES
Une fois authentifiés comme des « contrôleurs d’accès » ces plateformes sont soumises à diverses obligations et d’interdictions (articles 5 et 6). L’objectif est de leur interdire d’utiliser les pratiques abusives qu’elles s’autorisent souvent par leur position dominante comme l’auto-préférence par exemple.
L’accord final renforce les obligations applicables à tous les contrôleurs d’accès et vise à rendre le marché plus équitable et à élargir le choix des professionnels et des consommateurs. Sont notamment inscrites dans le texte :
– L’obligation de donner aux entreprises la possibilité de contourner les plateformes pour atteindre leurs clients. Les plateformes seront donc empêchées de pratiquer le « bundling » qui permet de faire des offres promotionnelles groupées de produits associés vendus ensemble.
– L’interdiction d’imposer ses services annexes, comme les services d’identification ou de paiement.
– L’obligation d’obtenir le consentement explicite de l’utilisateur pour délivrer des publicités ciblées.
– L’interdiction des interfaces trompeuses (« dark patterns ») dans le cadre des mesures anti-contournement des obligations.
– L’interdiction de combiner des données de différents services sans consentement explicite de l’utilisateur.
-L’accord renforce enfin les obligations d’interopérabilité des services de messagerie instantanée avec de plus petites plateformes. L’Institut pense qu’il s’agit là d’une disposition intéressante, sans doute compliquée à mettre en place d’un point de vue technique. Si l’interopérabilité est nécessaire au développement numérique, il faudra en effet s’assurer que les mesures qui vont l’encadrer seront suffisantes pour empêcher de produire des conséquences indésirables comme l’expansion de la dispersion de nos données personnelles pouvant mener à la divulgation d’informations sensibles.
A cette liste d’obligations générales s’ajoutent également des obligations complémentaires s’appliquant à certaines grandes plateformes en fonction de critères objectifs dûs à leur place sur le marché. Parmi celles-ci on trouve celle imposant une sélection de services concurrents à mettre à la disposition de l’utilisateur lorsqu’il se connecte pour la première fois sur un service considéré comme un cœur d’activité ainsi que celle d’établir des conditions générales d’accès claires, transparentes « justes, raisonnables et non-discriminatoires » aux boutiques d’applications, aux moteurs de recherche et aux réseaux sociaux.
LA PUBLICITE CIBLEE
Elle a fait l’objet de très nombreuses discussions au sein du Parlement, notamment concernant l’interdiction de ciblage des mineurs.
L’accord final n’a pas retenu la restriction du ciblage publicitaire des mineurs. En revanche, comme nous l’avons indiqué plus haut, il empêche les contrôleurs d’accès de combiner les données de leurs différents coeurs d’activité sans le consentement explicite de l’utilisateur, et leur impose de fournir une version de leurs services sans ces combinaisons de données.
L’Institut regrette que cette interdiction concernant les mineurs n’ait pas été introduite dans le texte final. Il était tout à fait légitime à y figurer et il faut espérer qu’on l’y retrouvera ainsi que les dispositions concernant les données sensibles dans le DSA.
LES ACQUISITIONS PREDATRICES
Dans l’accord final, Les plateformes devront informer les autorités de tout projet d’acquisition dans des secteurs sensibles comme la banque ou la santé. En cas d’infraction répétée au règlement, c’est-à-dire à partir de trois infractions sur huit ans, la Commission pourra imposer des mesures de correctives de nature comportementale ou structurelle de manière à garantir l’efficacité des obligations, y compris selon la gravité des faits reprochés, interdire temporairement certaines acquisitions par l’entreprise prise en faute. D’autre part, les Etats membres pourront donner de nouveaux pouvoirs (qui sont malheureusement très flous) à leurs autorités de la concurrence. Elles pourront de lancer des enquêtes concernant de possibles infractions et transmettre leurs résultats à la Commission, seule chargée d’instruire les violations et d’appliquer des sanctions. L’Institut se pose quand même la question de savoir si cette concentration de pouvoirs entre les mains de la Commission ne sera pas un problème…
En ce qui concerne le contrôle des concentrations (art 22) la Commission devra être informée de tout projet d’acquisition par les « contrôleurs d’accès » et pourra exiger une notification. La très bonne nouvelle c’est que les « contrôleurs d’accès » qui auront des comportements interdits par le texte, seront sanctionnés immédiatement et nous n’aurons plus à faire face à des procédures interminables lors de l’ouverture d’enquête pour abus de position dominante.
LE MONTANT DES AMENDES
L’accord final qui a été l’objet de longues négociations entre les trois institutions est arrivé à un compromis très équilibré.
Les infractions aux mesures principales du règlement pourront être sanctionnées par des amendes allant jusqu’à 10 % du chiffre d’affaires mondial. En cas de récidive sur une même infraction, elle peut monter jusqu’à 20 % de ce chiffre
Ce règlement dont l’objectif est de rendre le secteur numérique plus éthique en imposant aux « contrôleurs d’accès à une série de nouvelles obligations répond globalement à ce que l’on était en droit d’attendre de ce texte. Il va définir un cadre économique équitable aux géants du numérique. C’est un premier pas pour limiter l’abus de position dominante des principaux acteurs de la « tech ». Il ne répond malheureusement parfois que de façon très incomplète à certaines questions que nous aurions aimé voir résoudre ou du moins voir aborder et qui risquent d’émerger lors de l’application du règlement. Notamment, l’Institut regrette qu’il n’ait pas été suffisamment pris en compte la potentielle évolution des plateformes et leurs facultés d’adaptation ultra rapide aux futures nouvelles technologies numériques qui vont irrémédiablement apparaître très vite dans le paysage et encore transformer le marché. Une anticipation prévenant l’arrivée probable d’une nouvelle génération de plateformes notamment et les conditions de leur inclusion dans la législation n’aurait pas été inutile . Reconnaissons cependant que ce texte constitue un pas décisif pour commencer à agir contre les pratiques anticoncurrentielles des grandes plateformes et sanctionner leurs comportements lorsqu’ils ne seront pas conformes à la nouvelle législation. Même si dans la réalité, comme nous le disions, ce sera néanmoins encore un peu compliqué à mettre en œuvre, l’Institut se félicite des grands principes conclus dans cet accord.
Il considère qu’il va offrir une plus grande autonomie aux utilisateurs européens et permettre de mieux cerner la collecte des données.
Le texte définitif du règlement et ses annexes pourrait être publié à partir du 19 avril prochain.
Colette Bouckaert
Secrétaire générale iDFrights
Membre du Comité Europe de l’Institut