Lutte contre les effets délétères des algorithmes, pratiques interdites ex ante afin d’éviter les conséquences irrémédiables de comportements déloyaux du point de vue du droit de la concurrence, identification des super-plateformes… le DSA et le DMA édictent des règles européennes spécifiques et originales pour les seuls géants du numérique.
Présentés pour la première fois en décembre 2020 (voir La rem n°56, p.5), les deux règlements qui doivent permettre de mieux encadrer les pratiques des grands acteurs du numérique ont connu un processus d’adoption extrêmement rapide pour l’Europe : le Digital Markets Act (DMA) est entré en application le 2 mai 2023 et le Digital Services Act (DSA) le 25 août 2023. Il s’agit à chaque fois de règlements européens, donc de règles qui s’appliquent de facto à tous les pays, et non de directives qui doivent ensuite être retranscrites dans le droit national. À l’évidence, la dimension transnationale des services numériques et la nécessité d’agir vite pour mettre un terme le plus rapidement possible à des comportements problématiques l’ont emporté.
Le DSA fut le règlement dont le périmètre a été le plus débattu. En effet, le DSA porte principalement sur la régulation des contenus en ligne alors que les vingt-sept pays de l’Union européenne ont une approche différenciée de la liberté d’expression, du fait de cultures et d’histoires particulières. En outre, le DSA a dû prendre en compte les choix faits par certains pays qui avaient déjà adopté une loi sur les contenus problématiques, comme les contenus haineux en Allemagne (loi NetzDG de 2018, voir La rem n°64, p.19) ou en France (loi 2020-766 visant à lutter contre les contenus haineux sur internet, voir La rem n°54bis-55, p.17).
Si le DSA impose des obligations à tous les acteurs du numérique, il ajoute des contraintes spécifiques aux « very large online platforms » (VLOP), ces services qui touchent au moins 45 millions d’internautes européens chaque mois (10 % de la population). Si ces obligations spécifiques ne sont pas respectées, les plateformes pourront recevoir des amendes dont le montant atteindrait 6 % de leur chiffre d’affaires mondial. Dans chaque pays, les plateformes sont supervisées par un coordinateur des services numériques, le plus souvent le régulateur national (l’Arcom en France), la liste des plateformes étant en revanche établie au niveau européen tout comme la surveillance spécifique de leurs initiatives de modération. Le 25 avril 2023, la Commission européenne a ainsi communiqué la liste des plateformes concernées par les obligations spécifiques du DSA. Il s’agit des dix-neuf services suivants, les audiences étant considérées au niveau des services et non au niveau du groupe : Alibaba, Amazon Marketplace, AppStore, Bing, Booking, Facebook, Google Play, Google Maps, Google Search, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando. Depuis, Zalando et Amazon Marketplace ont contesté ce classement parmi les VLOP auprès de la Cour de justice de l’Union européenne (CJUE).
Sur le fond, le DSA ne revient pas sur le principe de l’hébergeur passif, il n’attribue donc pas de responsabilité éditoriale à tous les services numériques qui référencent et recommandent des contenus produits par d’autres, même si, entre les années 1990 et aujourd’hui, l’avancée des technologies a permis à ces acteurs de mieux connaître la nature des contenus qu’ils hébergent, au point d’ailleurs de proposer des recommandations personnalisées à leurs utilisateurs. C’est donc sur la nature de ces recommandations que porte l’essentiel des contraintes. Tous les acteurs, quelle que soit leur taille, sont soumis à une obligation de transparence en matière de modération des contenus, à des mesures spécifiques pour la protection des mineurs en ligne, ou encore à l’interdiction d’utiliser des interfaces visant à tromper leur utilisateur. Ils doivent par ailleurs avoir un représentant légal dans chaque pays où ils proposent leurs services.
Quant aux VLOP, ils ont des obligations propres, la première d’entre elles étant de se déclarer auprès de la Commission européenne dès qu’ils franchissent le seuil des 45 millions d’utilisateurs mensuels. Tous les acteurs présents en Europe avaient ainsi jusqu’au 17 février 2023 pour transmettre cette information à la Commission européenne. Une fois reconnus comme VLOP, les services concernés doivent produire annuellement des rapports d’autoévaluation des risques systémiques (haine en ligne, désinformation, propagande…) et présenter des mesures visant à atténuer ces risques. Pour évaluer la pertinence de ces mesures, qui risquent à l’évidence d’entamer la rentabilité des services concernés, les VLOP devront par ailleurs se soumettre, à leurs frais, à des audits externes, notamment en ce qui concerne leurs algorithmes et leurs politiques de modération. Pour mieux comprendre le fonctionnement des algorithmes et mieux évaluer les mesures proposées, l’Union européenne s’est dotée d’un outil dédié, l’ECAT (Centre européen de transparence algorithmique) inauguré à Séville le 18 avril 2023. Ce centre de recherche est original parce qu’il a une visée opérationnelle. Il doit en effet accompagner la Commission européenne pour l’aider à décrypter les rapports d’autoévaluation des VLOP. Il va également initier des recherches sur leurs services afin d’apporter, là encore, des mesures à des fins de régulation. Ne comptant qu’une dizaine de salariés à son lancement, il devra s’appuyer sur des structures nationales, comme le Pôle d’expertise de la régulation numérique (PEReN) en France, ou sur des chercheurs, puisque ces derniers devraient avoir accès aux algorithmes et aux données des VLOP – au moins à certains de leurs éléments principaux. Pour l’heure, le DSA reste très général concernant ces obligations, afin de ne pas être trop vite périmé, et l’effort de transparence imposé aux VLOP risque, dans un premier temps, de ne pas porter ses fruits car les données disponibles et transmises ne seront pas facilement exploitables.
Quant aux obligations immédiatement applicables du DSA, les principales visent la protection des mineurs, qui est renforcée, notamment pour le contrôle des données, des accès aux sites interdits, l’interdiction de personnalisation de la publicité, etc. Elles portent sur le signalement des contenus illicites et leur retrait rapide, notamment quand les notifications émanent des « signaleurs de confiance » assermentés au niveau national ; sur la publicité avec une transparence des régies sur le ciblage publicitaire et sur l’interdiction d’utiliser des données liées aux opinions politiques, religieuses, aux origines ethniques ou aux choix sexuels ; sur l’obligation d’offrir aux internautes la possibilité d’accéder à des offres non personnalisées, qu’il s’agisse de réseaux sociaux numériques ou de places de marché où certains produits sont recommandés plus que d’autres.
Quelques mois plus tôt, le 2 mai 2023, le Digital Markets Act (DMA) entrait à son tour en vigueur. Toutefois, les « plateformes structurantes » ou gatekeepers concernées ont en fait jusqu’au 6 mars 2024 pour se mettre en conformité. Le DMA est véritablement novateur, plus que le DSA, qui ne fait qu’approfondir une propension à la régulation des contenus déjà bien développée en Europe (voir La rem n°63, p.10). En effet, le DMA rompt avec les politiques de concurrence qui caractérisent l’Europe depuis la création du marché commun, et qui sont encore menées aux États-Unis quand il s’agit de contraindre le pouvoir des Big Tech. C’est que l’Europe n’est pas parvenue à réguler les géants du numérique en recourant aux règles actuelles de la concurrence, une stratégie déployée par Margrethe Vestager, la commissaire européenne à la concurrence. Elle a en grande partie échoué parce que les preuves à apporter supposent de longues enquêtes, des accusations minutieuses qui peuvent être ensuite contestées, comme ce fut le cas – très symbolique – pour les 13 milliards de dollars d’avantages fiscaux qu’Apple devait rembourser à l’Irlande, une décision annulée par le Tribunal de l’Union européenne en juin 2020. Quand les enquêtes aboutissent et obligent les grands acteurs du numérique à changer leurs pratiques, leurs effets sont souvent beaucoup trop tardifs. Dans l’environnement numérique, les barrières à l’entrée, la facilité qu’il y a à imposer des ventes liées, les effets de réseaux et la rapidité avec laquelle il est possible de verrouiller un marché produisent très rapidement une éviction des concurrents que le temps long des enquêtes de concurrence ne parvient pas à contrer ex post.
Le DMA fait donc émerger en réponse une régulation ex ante, avant même la mise en œuvre de pratiques potentiellement dommageables par les gatekeepers. Il constitue ainsi une innovation réglementaire très importante qui concerne uniquement le domaine numérique et, en son sein, un nombre limité d’acteurs, ces intermédiaires essentiels qui apparient l’offre à la demande grâce à leurs services ou à leurs écosystèmes intégrés – les services concernés étant principalement des réseaux sociaux numériques, des services de recherche et de référencement (cartographie, places de marché), des navigateurs et des systèmes d’exploitation. Sont donc considérés comme gatekeepers les services qui concernent 45 millions d’internautes par mois (10 % de la population européenne), qui disposent de 10 000 clients professionnels en Europe, qui ont réalisé un chiffre d’affaires en Europe de 7,5 milliards d’euros sur les trois dernières années, enfin ceux qui ont une valorisation d’au moins 75 milliards d’euros. La liste des principaux concernés a été dévoilée par la Commission européenne le 6 septembre 2023 et devrait être complétée par la suite, une fois établi le statut de gatekeeper pour de nouveaux services. Six groupes devront se soumettre au DMA, contrôlant ensemble vingt-deux services : Alphabet (Android, Google Search, Chrome, Google Maps, Google Play, Google Shopping, YouTube, régies publicitaires Google), Amazon (Amazon Marketplace et régies publicitaires), Apple (iOS, Safari, AppStore), ByteDance (TikTok), Meta (Facebook, Instagram, WhatsApp, Messenger, Meta Marketplace, régies publicitaires Meta), enfin Microsoft (Windows, LinkedIn). Ces six groupes vont avoir des obligations spécifiques qui, si elles ne sont pas respectées, peuvent faire l’objet d’une sanction pouvant atteindre 20 % de leur chiffre d’affaires mondial.
Les obligations sont nombreuses et leur énumération est impossible dans le cadre contraint de cet article. Certaines semblent toutefois plus importantes que d’autres, parce qu’elles répondent aux limites qui ont été celles du régulateur européen. Depuis le 2 mai 2023 – l’application de cette obligation étant immédiate –, les groupes concernés doivent déclarer à la Commission européenne toutes les opérations de rachat, y compris celles de sociétés avec peu d’utilisateurs et de chiffre d’affaires… une réponse, à l’évidence, à l’autorisation de rachat d’Instagram par Facebook, qui a permis à l’actuel Meta d’exercer un quasi-monopole sur la sociabilité en ligne jusqu’à très récemment (voir La rem n°26-27, p.39 et La rem n°32, p.51). D’autres obligations produiront des changements notables dans l’environnement numérique des internautes.
Parmi ces dernières, la plus visible sera probablement celle qui impose aux détenteurs d’OS pour smartphones d’accepter l’installation de magasins d’applications concurrents de ceux qu’ils proposaient jusqu’ici de manière exclusive, l’AppStore étant ici particulièrement visé. Il sera également possible de supprimer les applications préinstallées lors de l’achat d’un smartphone, une pratique ayant donné lieu à des condamnations en Europe, notamment à l’encontre d’Android (voir La rem n°48, p.5). Les groupes concernés ne pourront pas davantage croiser les données personnelles des utilisateurs de leurs services sans consentement préalable. Il sera aussi désormais interdit d’utiliser les données des transactions réalisées par des tiers sur sa place de marché pour mieux positionner ensuite ses propres produits, une mesure qui vise les groupes disposant de places de marché, Amazon au premier chef. La mise en avant de ses propres services sera par ailleurs interdite, la Commission européenne ayant déjà condamné Google pour la préférence abusive donnée à Google Shopping dans les résultats de son moteur de recherche (voir La rem n°44, p.14). Enfin, les régies en ligne d’Alphabet, de Meta et d’Amazon devront informer clairement leurs clients professionnels sur les conditions de mesure de la performance des annonces et sur les choix opérés lors de l’affichage automatique des publicités. Ces mesures, si elles ne sont pas déjà effectives, conduisent en revanche les acteurs à se mettre en conformité avant même l’échéance de mars 2024. Amazon s’est ainsi accordé avec la Commission européenne, en décembre 2022, sur de nouvelles règles pour les vendeurs tiers sur sa plateforme, mettant fin aux poursuites initiées en 2019.
ERRATUM : les dates d’entrée en application respectives du DMA et du DSA ont été interverties par erreur dans la version initiale de cet article.
Sources :
- Perrotte Derek, « DSA, DMA/ le Parlement européen montre les dents face aux Gafa », Les Échos, 5 octobre 2021.
- Perrotte Derek, « Régulation du Net : les États européens prêts à frapper fort », Les Échos, 26 novembre 2021.
- Dumoulin Sébastien, Perrotte Derek, « Concurrence : Bruxelles tient sa nouvelle arme anti-Gafam », Les Échos, 28 mars 2022.
- Hubaut Léonor, « Amazon évite une amende pour concurrence déloyale », Le Figaro, 21 décembre 2022.
- Schmitt Fabienne, « La régulation européenne des Gafam entre dans le dur », Les Échos, 20 février 2023.
- Schmitt Fabienne, « L’UE veut faire la police dans les algorithmes des géants du web », Les Échos, 19 avril 2023.
- Woitier Chloé, « L’Europe ausculte les algorithmes des géants de la tech », Le Figaro, 20 avril 2023.
- Woitier Chloé, « Bruxelles renforce son contrôle des Gafam, mais aussi de TikTok, Twitter ou Zalando », Le Figaro, 26 avril 2023.
- Schmitt Fabienne, « Bruxelles publie la liste des géants du numérique placés sous surveillance », Les Échos, 26 avril 2023.
- Balenieri Raphaël, « Amazon conteste son statut de « très grande plateforme » devant l’UE », Les Échos, 13 juillet 2023.
- Woitier Chloé, « Top départ pour la mise en œuvre du Digital Markets Act », Le Figaro, 19 juillet 2023.
- Debès Florian, « Les grandes plateformes numériques entrent dans le dur de la réglementation européenne », Les Échos, 25 août 2023.
- « Le règlement européen sur les services numériques (DSA) vise une responsabilisation des plateformes », vie-publique.fr, 25 août 2023.
- Akkoc Raziye, Aronssohn Daniel, « Concurrence : l’UE durcit les règles pour six géants de la tech », AFP, 5 septembre 2023.
- Schmitt Fabienne, « Bruxelles durcit les obligations d’Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft », Les Échos, 7 septembre 2023.
- Woitier Chloé, « Concurrence : Bruxelles soumet les Gafam et TikTok à des règles strictes », Le Figaro, 7 septembre 2023.