I – Le DMA et le DSA, la fin du « far-west » pour les grands groupes du numérique
A ) Le DMA : l’ouverture à la concurrence du marché numérique
Le DMA définit un nouveau statut : le contrôleur d’accès. L’Union Européenne considère que certains acteurs ont une telle ampleur que leur seule présence sur le marché empêche la concurrence. Ce statut s’appliquera aux plateformes atteignant les seuils suivants au cours des trois dernières années :
• Réaliser un chiffre d’affaires annuel dans l’Union Européenne supérieur à 7.5 milliards d’euros ou une capitalisation boursière d’au moins 75 milliards d’euros ;
• Fournir un service à plus de 45 millions d’utilisateurs finaux par mois dans l’Union Européenne et 10.000 entreprises utilisatrices par an.
Le DMA pose une série d’obligations touchant ces contrôleurs d’accès, comme par exemple :
• La liberté d’installation et de désinstallation de logiciels tiers. Plus concrètement, Apple ne pourra plus empêcher l’installation du Google Store, les utilisateurs d’appareils Samsung pourront enfin désinstaller Facebook etc… ;
• L’interopérabilité devient également une obligation entre les services de communication en ligne. Il sera donc possible d’envoyer un message vers Messenger depuis WhatsApp.
Les plateformes devront ouvrir leurs portes aux concurrents, quels qu’ils soient.
Les sanctions sont les plus fortes jamais vues dans le monde du numérique, puisqu’une première condamnation peut atteindre 10% du chiffre d’affaires mondial et jusqu’à 20% en cas de récidive, ainsi que des interdictions temporaires d’achat d’entreprises européennes.
B ) Le DSA : tout ce qui est illégal dans le monde réel doit devenir illégal sur internet
Le DSA définit lui aussi un nouveau statut : les Très Grandes Plateformes en Ligne (ou TGPL), désignant les plateformes ayant plus de 45 millions d’utilisateurs mensuels. Le DSA est le successeur de la directive e-commerce de 2000. Il reprend ses mécanismes d’irresponsabilités pour les plateformes mais outre ce point, il s’applique à rendre plus efficace les signalements de contenus illicites.
Plus concrètement, il met en place une véritable procédure pour ces signalements, permet la certification d’organismes tiers pour le traitement des décisions de modération, met en place un statut de signaleur de confiance, permet de suspendre certains utilisateurs abusant des signalements etc…
Pour les TGPL, il met en place des obligations supplémentaires de transparence et d’audit et des limitations quant aux publicités en ligne. Leurs systèmes de recommandations devront clarifier les critères de recommandation et proposer une méthode hors-profilage. Les algorithmes des TGPL pourront être ouverts à des chercheurs agrées afin d’étudier leur fonctionnement et le respect des normes européennes.
Le DSA s’attaque donc aux pratiques trompeuses et met en place un véritable système de signalement tout en augmentant les obligations déjà présentes pour les TGPL.
Les sanctions sont ici aussi extrêmement fortes, les amendes peuvent atteindre 6% du chiffre d’affaires mondial et, en cas d’urgence, l’interdiction pour un TGPL d’exercer ses activités sur le territoire de l’Union Européenne.
II - Une législation qui évolue et apprend des réussites passées
A - Une règlementation adaptable et adaptée pour un monde numérique en constante évolution
Les deux règlements ont pour objectif d’être prêts pour l’avenir. Le seul moyen d’atteindre cet objectif dans le monde numérique, c’est d’être flexible. Ainsi, les deux règlements prévoient des procédures de mise à jour. La Commission Européenne prendra des actes délégués afin de réviser les modalités de désignation des contrôleurs d’accès, et elle peut également en désigner même hors des critères chiffrés. Le DMA sera réévalué tous les trois ans. Il en va de même pour le DSA qui modulera les critères de désignation des TGPL dès que la population européenne évolue de plus de 5%.
Cette mise à jour fréquente et modulable va de pair avec un nouvel outil qu’assume finalement l’Union Européenne : l’asymétrie. Ces règlements cherchent à ouvrir le marché et rendre plus transparent et respectueux des lois le contenu en ligne. Pour atteindre ces objectifs, il faut frapper plus fort sur les très grands, tout en épargnant les plus petits. D’où les définitions chiffrées en nombre d’utilisateurs et en chiffre d’affaires. Seul le temps nous dira si ce pari est payant.
B – Les leçons apprises du RGPD
Ces deux règlements ne seront pas sans rappeler le RGPD et ce n’est pas un hasard. L’Union Européenne semble satisfaite du résultat du RGPD après plus de 4 ans d’application.
Le choix du règlement tout d’abord, à l’instar du RGPD et à rebours de la directive e-commerce de l’an 2000, permet une application universelle sur le territoire de l’Union Européenne sans le passage obligé et hasardeux des lois de transposition des Etats membres. Ces règlements ont une vocation d’application directe pour chaque internaute européen.
Autre inspiration du RGPD, un règlement n’est respecté que s’il dispose de sanctions fortes. Les amendes atteignent 20% du chiffre d’affaires global dans le DMA, bien loin des 4% du RGPD. A titre d’exemple, Amazon risque des sanctions pouvant atteindre 93 milliards d’euros. En comparaison, la France contribue à hauteur de 23 milliards d’euros au budget de l’Union Européenne. Ces sanctions financières sont assorties de sanctions aux conséquences drastiques, comme les interdictions temporaires de rachat d’entreprises européennes ou d’atteindre les internautes européens.
D’autres éléments viennent tout droit du RGPD comme la création d’un nouveau type de « DPO », le responsable de la conformité au DSA pour les TGPL, la formation d’un coordinateur dans chaque Etat membre (qui sera, selon toute vraisemblance, la CNIL ou l’ARCOM en France) et un comité regroupant chaque coordinateur dans un nouveau type de G29.
Avec ces deux règlements, la Commission semble vouloir s’inspirer du RGPD pour modifier les règles du jeu de la concurrence et de la gestion du contenu sur internet en Europe. Les grands groupes devront, à la manière du RGPD, se mettre en ordre de bataille pour s’adapter à ces normes. Comme à l’époque du RGPD, les avocats sauront notamment répondre aux interrogations et accompagner ces derniers.