Les services numériques sont en constante évolution et leur encadrement nécessite en conséquent une évolution de la législation - c’est la mission que se sont données les institutions européennes, en présentant le Digital Services Act (le « DSA ») et le Digital Markets Act (le « DMA »), deux propositions de textes destinées à répondre aux nouveaux défis posés par l’accélération de la numérisation.

Ces dernières années ont été marquées par le développement rapide et généralisé des services numériques, offrant aux consommateurs de nouvelles façons de communiquer et partager du contenu, ou bien encore d’acheter des produits et services.

Alors que les bénéfices de ces transformations sont indéniables pour les consommateurs, l’économie et l’innovation, c’est la prise de conscience des problématiques générées et de leurs conséquences pour la société et l’économie qui a conduit à l’établissement de ces textes.

En particulier, ceux-ci poursuivent deux objectifs principaux, différents mais complémentaires :

En premier lieu, «  créer un espace numérique plus sûr dans lequel les droits fondamentaux de tous les utilisateurs de services numériques sont protégés  ».

C’est l’objet de la Législation sur les services numériques, le DSA. En effet, les services en ligne ont permis l’apparition de nouvelles pratiques préjudiciables aux droits des utilisateurs, telles que la diffusion de contenus, produits et services illicites, la propagation de la désinformation, l’incitation à la haine ou à la violence ou bien encore le harcèlement, pour ne citer que quelques exemples. Le DSA vise ainsi à prévenir et empêcher de telles pratiques et à préserver les droits fondamentaux des utilisateurs.

En second lieu, «  établir des conditions de concurrence équitables pour favoriser l’innovation, la croissance et la compétitivité, tant au sein du marché unique européen qu’à l’échelle mondiale  ».

C’est l’objet de la Législation sur les marchés numériques, le DMA qui vise à limiter la domination économique des grandes plateformes numériques. En effet, alors que plus de dix-mille plateformes en ligne opèrent sur le marché européen du numérique selon les estimations de la Commission européenne (la « Commission »), seule une partie de ces acteurs capterait l’essentiel de la valeur économique générée par ces activités. L’on pense notamment aux GAFAM et autres géants du secteur, qui, par leur position, sont désormais en mesure de contrôler l’accès sur les marchés numériques.

Ces deux textes ont récemment fait l’objet d’accords entre les institutions européennes et pourraient donc entrer en vigueur sous peu.

En effet, d’une part, les négociations sur le DMA ayant abouti à un accord entre le Parlement et le Conseil le 24 mars 2022, celui-ci devrait entre en vigueur 6 mois après être formellement adopté par ces deux institutions.

D’autre part, le DSA fait l’objet d’un accord provisoire entre les institutions le 23 avril 2022 et a vocation à s’appliquer en deux temps : 15 mois après son entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue pour les acteurs concernés ; et 4 mois après leur désignation pour les « très grandes plateformes en ligne » et « très grands moteurs de recherche » plus particulièrement.

I. Quand et à qui s’appliqueront le DMA et le DSA ?

DMA.

La Législation sur les marchés numériques comprend des règles qui régissent les activités économiques des plus grandes plateformes en ligne, qui sont définies comme celles ayant

« une forte incidence sur le marché intérieur, qui constituent un point d’accès important des entreprises utilisatrices pour toucher leur clientèle, et qui occupent ou occuperont dans un avenir prévisible une position solide et durable ».

Celles-ci sont encore qualifiées de « contrôleurs d’accès » (ou « gatekeepers ») par la Commission, pour signifier qu’elles sont devenues des « passages obligés » pour que les entreprises et consommateurs puissent bénéficier des avantages d’Internet - les rendant ainsi dépendants de leurs services, et empêchant la concurrence des autres sociétés.

Les contrôleurs d’accès sont les plateformes cumulant :
 une position économique forte avec plus de 7,5 milliards d’euros de chiffre d’affaires réalisé dans l’Espace économique européen (l’« EEE ») ou une valorisation boursière de plus de 75 milliards d’euros avec le contrôle d’un ou plusieurs services de plateforme de base (« core platform services ») dans au moins trois États membres ;
 le contrôle d’un service de plateforme essentiel (comme moteur de recherche, réseau social, messagerie, place de marché en ligne, etc.,) utilisé par plus de 45 millions d’Européens par mois et plus de 10 000 professionnels par an dans l’Union européenne (l’« UE ») ;
 une position « solide et durable » sur le marché avec le dépassement des deux seuils précédents au cours des trois années précédentes.

L’exécutif européen pourra aussi qualifier de contrôleur d’accès une société selon d’autres critères plus qualitatifs ou, à l’inverse, décider d’exempter une société qui obéirait en théorie à la définition du contrôleur d’accès.

Il existe en outre des exemptions pour les PME (hors cas exceptionnels), pour s’assurer que les règles prévues par le règlement sont proportionnées.

Enfin, il est prévu une catégorie supplémentaire de «  contrôleur d’accès émergent  » pour imposer certaines obligations aux entreprises dont la position concurrentielle est démontrée mais qui ne saurait être considérée comme étant durable - permettant ainsi d’assurer le caractère progressif des obligations.

Certains de ces services sont également couverts par le DSA, mais pour différentes raisons et avec différents types de dispositions.

DSA.

Les règles spécifiées dans la Législation sur les services numériques concernent principalement les intermédiaires et les plateformes en ligne. Par exemple, les places de marché en ligne, les réseaux sociaux, les plateformes de partage de contenus, les boutiques d’applications, les fournisseurs d’accès à Internet ou encore les services de Cloud.

Par ailleurs, des obligations supplémentaires sont prévues pour les «  très grandes plateformes en ligne  » et les «  très grands moteurs de recherche  » (ou encore « very large online platforms »), c’est-à-dire, les plateformes et moteurs de recherche comptant plus de 45 millions d’utilisateurs actifs chaque mois.

Cette législation vient moderniser une partie de la Directive 2000/31/CE sur le commerce électronique du 8 juin 2000 et est destinée à mieux encadrer le contenu et les produits illicites proposés en ligne. Le principe directeur de ce règlement est que « ce qui est illégal hors ligne doit également être illégal en ligne ».

Les enjeux du DSA apparaissent plus concrets pour les utilisateurs - cet acte est destiné à inciter les géants du Web à revoir leur fonctionnement intégral en Europe.

Ainsi, les préoccupations économiques découlant des pratiques des contrôleurs d’accès seront abordées par la DMA, tandis que les préoccupations sociétales plus larges seront abordées dans la DSA.

II. Quelles sont les obligations principales découlant de ces textes ?

DMA.

Les organisations répondant aux critères exposés précédemment doivent d’elles-mêmes s’identifier comme contrôleurs d’accès auprès de l’institution, qui pourra à défaut procéder à des enquêtes pour les identifier.

En outre, celles-ci se voient imposer un certain nombre d’obligations et d’interdictions.

Au titre de leurs obligations, les organisations visées doivent notamment :
 Assurer le droit des utilisateurs de se désabonner des services de la plateforme dans des conditions similaires à l’abonnement ;
 Assurer l’interopérabilité de leurs services (un contrôleur d’accès proposant plusieurs services ne peut pas imposer à un utilisateur l’utilisation d’un service accessoire au service de plateforme essentiel, conformément à l’interdiction des ventes liées existante en droit de la concurrence) ;
 Donner aux vendeurs l’accès à leurs données de performance marketing ou publicitaire sur la plateforme.

Au titre des interdictions imposées à ces organisations, peuvent être notées :
 L’interdiction de favoriser leurs propres services ou produits par rapport à ceux des autres entreprises sur le même marché (auto-préférence) ;
 L’interdiction d’exploiter les données personnelles collectées lors d’une prestation pour les besoins d’une autre prestation ;
 L’interdiction d’établir des conditions déloyales pour les utilisateurs professionnels ;
 L’interdiction d’imposer les logiciels les plus importants par défaut à l’installation de leur système d’exploitation (par ex, navigateurs ou moteurs de recherche) ;
 L’interdiction d’imposer aux développeurs d’application l’utilisation de certains services pour être référencés dans les app stores.

DSA.

Le DSA prévoit également un certain nombre de nouvelles obligations pesant sur les plateformes en ligne, dont les objets sont différents.

Notamment, le DSA introduit des mesures visant à prévenir les produits, services ou contenus illégaux en ligne et la diffusion de la désinformation, telles que :
 De nouvelles obligations claires pour les plateformes en ligne, qui devront réagir rapidement dès réception d’un signalement de contenu illicite par un utilisateur. Actuellement, les procédures de notification et de retrait de ces contenus et produits varient d’un État membre à un autre et ne permettent pas d’agir efficacement du fait de délais trop longs. Le DSA introduit donc un mécanisme de notification plus efficace, où les signalements doivent être traités de manière non arbitraire et non discriminatoire ;
 Si les plateformes ne sauraient être directement responsables des contenus illicites qu’elles hébergent, le DSA prévoit qu’elles devront toutefois faire tout leur possible pour vérifier l’identité des fournisseurs de services afin de s’assurer qu’ils peuvent être tenus légalement responsables.

Sont également introduites des mesures visant à protéger les utilisateurs, dont notamment :
 La possibilité de contester les décisions de modération de contenu des plateformes et de demander réparation, soit par un mécanisme de règlement extrajudiciaire des litiges, soit par un recours judiciaire ;
 La limitation de la publicité ciblée, puisque le DSA empêche le ciblage des mineurs et s’étend aux données personnelles sensibles telles que les convictions politiques et religieuses et l’orientation sexuelle ;
 L’obligation pour les plateformes auxquelles peuvent accéder les mineurs dans l’UE de mettre en œuvre des mesures de protection spéciales afin d’assurer leur sécurité. Cela inclut, comme indiqué ci-dessus, l’interdiction d’utiliser les données personnelles des mineurs à des fins de publicité ciblée ;
 Des mesures de transparence pour les plateformes en ligne sur une variété de sujets, y compris les « pièges à utilisateurs » (ou « dark patterns »), qui sont des techniques spécifiques pour extorquer le consentement à la collecte de données personnelles, comme l’affichage répété de pop-ups), les pratiques trompeuses et les systèmes de recommandation (algorithmes utilisés pour recommander des contenus ou des produits aux utilisateurs).

Par ailleurs, des mesures pour évaluer et atténuer les risques seront imposées aux très grandes plateformes et aux très grands moteurs de recherche, telles que :
 Des obligations de prendre des mesures d’évaluation et d’atténuation des risques afin d’empêcher l’utilisation abusive de leurs systèmes, et de se soumettre à des audits indépendants de leurs systèmes de gestion des risques ;
 D’autres obligations spécifiques telles que la publication de rapports de transparence tous les 6 mois et la soumission de rapports supplémentaires au coordinateur du service numérique et à la Commission ;
 L’obligation disposer d’un responsable de la conformité.

En outre, les très grandes plateformes en ligne seront soumises à une surveillance et une application renforcée qui sera assurée par la Commission.

III. Quelles sont les sanctions ?

DMA.

La Commission européenne sera la seule instance habilitée à faire appliquer le règlement. Elle pourra engager un dialogue avec les contrôleurs d’accès pour s’assurer qu’ils ont une compréhension claire des obligations leur étant imposées et en préciser l’application si nécessaire. Un comité consultatif et un groupe à haut niveau seront également mis en place pour assister la Commission. Les États membres pourront en outre habiliter les autorités nationales à ouvrir des enquêtes sur d’éventuelles infractions et à transmettre leurs conclusions à la Commission.

En cas de non-respect des obligations prévues par le DMA, le contrôleur d’accès risque une amende pouvant aller jusqu’à 10% de son chiffre d’affaires mondial total. En cas de récidive, une amende pouvant aller jusqu’à 20% du chiffre d’affaires mondial pourra être imposée.

En outre, si le contrôleur d’accès enfreint les règles au moins 3 fois en 8 ans (« non-respect systématique »), la Commission pourra ouvrir une enquête de marché et, si nécessaire, imposer des mesures correctives comportementales ou structurelles.

DSA.

Le DSA prévoit l’introduction d’un «  coordinateur des services numériques  » au sein de chaque État, lequel pourra enquêter et saisir la justice s’il constate des irrégularités, voire sanctionner directement une entreprise dans certaines situations.

Les 27 coordinateurs coopèreront au sein d’un «  comité des coordinateurs nationaux des services numériques  », habilité à mener des enquêtes conjointes dans plusieurs États.

La Commission disposera quant à elle d’un pouvoir exclusif de supervision des très grandes plateformes en ligne et des très grands moteurs de recherche.

Enfin, le DSA introduit des sanctions efficaces et dissuasives, puisque les entreprises concernées pourront se voir imposer des amendes pouvant aller jusqu’à 6% de leur revenu ou chiffre d’affaires annuel ou bien même une interdiction d’opérer sur le marché unique de l’UE en cas de manquements graves répétés.

Pour conclure, il sera intéressant de suivre l’adoption de ces textes dans les mois à venir, ainsi que leur application concrète.

Charlotte Gerrish et Evane Alexandre Gerrish Legal Paris - Londres - Stockholm