Le 6 septembre, la Commission européenne a dressé la liste des groupes qui seront concernés par le Digital Markets Act. Ce nouveau règlement instaure un réel changement pour l’économie numérique, dont on ne mesure pas encore les conséquences. Stratégies fait le point avec Ariane Mole, associée au cabinet Bird & Bird.
Quelques jours après l’entrée en application du Digital Services Act (DSA), la Commission européenne a dressé une liste de grands groupes concernés par le Digital Markets Act (DMA), qui entrera en application dans six mois. À qui ce règlement s’appliquera-t-il ?
ARIANE MOLE. Le but du Digital Markets Act est de restreindre la mainmise des grands groupes sur l’économie numérique. Leurs tailles font qu’ils deviennent des passages obligés pour les entreprises qui souhaiteraient elles aussi croître sur le digital et entrer en contact avec les utilisateurs finaux. Donc la Commission européenne a décidé de mettre en place un règlement afin de limiter leur position dominante. C’est pourquoi le DMA contient en lui-même les critères qui définissent ces grandes entreprises susceptibles d’avoir une mainmise sur le marché. Le 6 septembre, la Commission a désigné les groupes concernés, en fonction de ces critères. On les nomme les « gatekeepers », ou « contrôleurs d’accès ». Ils sont au nombre de six pour le moment (Alphabet-Google, Amazon, Apple, Bytedance-TikTok, Meta et Microsoft) et sont donc les seuls concernés à ce jour par ce règlement. Ils ont six mois pour se conformer à ce règlement.
Qu’est-ce que cela changera ?
Dans l’esprit, c’est un énorme changement de paradigme. Et je pense qu’on ne mesure pas encore toutes ces conséquences. On peut dire que la règlementation européenne change d’échelle. C’est une rupture très importante dans le droit à la concurrence et pour la vie numérique. Cela aura un impact pour les utilisateurs et surtout pour les entreprises de l’UE. Il faut comprendre que désormais les règles du marché numérique ne sont plus les mêmes pour certaines entreprises, et seulement en Europe. Le DMA instaure de nombreuses obligations et interdictions pour ces groupes. Ils ne pourront plus faire ce qu’ils ont fait jusqu’à présent.
Concrètement, quelles sont les mesures qui sont les plus importantes pour vous ?
De par mon prisme, étant spécialisée sur le droit des données personnelles, celles qui m’ont marquée concernent évidemment les données, mais je pense qu’on sous-estime leurs conséquences, car elles auront un impact fort sur le fonctionnement du web. On peut noter qu’il y a une interaction très forte entre le DMA et le RGPD [règlement général sur la protection des données]. Le DMA ajoute et amplifie beaucoup de points de droit issus du RGPD. D’ailleurs, il ne serait pas étonnant que le DMA devienne un nouveau levier pour la Cnil, qui a déjà écrit à l’Autorité de la concurrence… Concrètement, ces grands acteurs ne pourront plus ni réutiliser ni combiner ou croiser les données personnelles issues d’un service, avec celles issues d’un autre service. Meta, par exemple, ne pourra plus utiliser les données de Facebook et les croiser avec celles d’Instagram, ou de WhatsApp. Ils ne pourront plus non plus les croiser avec les données issues de tiers, comme des sites web. C’est une interdiction énorme pour eux. Il faut mesurer la rupture que cela constitue car c’est la base de leur modèle ! Leur économie est basée sur le profilage précis des utilisateurs issu de leurs différents services. Eh bien dans six mois, c’en est fini.
Même si l’utilisateur est d’accord ?
Effectivement, ils devront demander le consentement de l’utilisateur. Mais là encore, les restrictions sont énormes. Car ce consentement est défini par le RGPD. Donc il devra être spécifique, éclairé, et donc obtenu en plus de ceux déjà prérequis, comme celui pour les cookies, pour les politiques de confidentialité… Et sans case pré-cochée ! Ils devront proposer une solution conviviale, claire et facile d’accès pour recueillir ce consentement, et surtout, ils ne pourront, en cas de refus de la part de l’utilisateur, ne le demander qu’une fois par an. C’est encore une restriction très forte.
Cela devrait avoir un impact fort sur les solutions publicitaires. Seront-elles moins performantes ?
Je ne peux pas me prononcer sur ce sujet directement. Est-ce que cela aura un impact ? Oui. Mais il est encore difficile de prédire exactement les conséquences de ces nouvelles dispositions. Ce qu’il faut retenir, c’est que les conséquences du DMA ne concernent pas que les gatekeepers, mais toutes les autres entreprises. Car en limitant ces géants, c’est toute l’économie numérique qui peut changer, et affecter la vie de toutes les entreprises.
D’autres points du règlement ont retenu votre attention ?
On peut aussi citer la portabilité des données, qui va beaucoup plus loin qu’avec le RGPD – et même si ça n’a pas été un droit très utilisé. Concrètement, il sera par exemple possible de basculer toutes vos données de YouTube Music sur Deezer, vos historiques, vos préférences… Car dans le RGPD c’était toutes les données de l’utilisateur, celles qu’il avait données qui étaient concernées. Désormais, même les données « déduites » par la plateforme seront prises en compte. On parle bien de toutes les données relatives à l’utilisateur. D’autres points, qui concernent moins les données sont aussi très importants, comme l’ouverture à la présence de magasins d’applications concurrents pour Apple sur ses propres téléphones, idem pour Android de Google… De manière générale, les directives pourront évoluer dans le temps, ainsi que les critères de définitions des gatekeepers. Des discussions sont encore en cours pour certaines filiales appartenant à ces groupes. Enfin, on peut noter la notion d'« accountability ». C’est-à-dire que ce sera aux gatekeepers de démontrer le respect des obligations, et établir chaque année un rapport à la Commission européenne, et une synthèse de ce rapport sera publiée. Ils devront également réaliser un audit indépendant pour vérifier que les techniques de profilage respectent les normes.
Et quid des sanctions ?
Elles sont énormes et constituent un réel changement, encore. On parle ici d’amendes qui peuvent atteindre 6 % du chiffre d’affaires mondial, et 20 % en cas de récidive. Autre nouveauté, la Commission a une possibilité d’astreintes, qui si elles ne sont pas appliquées, peuvent aboutir à 5 % du chiffre d’affaires d’amende par jour de retard…