Services numériques : tout savoir sur les réglementations DSA et DMA

L’année 2023 est marquée par un bouleversement chez les géants de l’internet avec l’adoption de deux règlements visant à une meilleure régulation en ligne : d’une part, le Digital Market Place (le « DMA ») et d’autre part, le Digital Service Act (le « DSA »).

Dune vous dit tout sur cette nouvelle réglementation, qui survient l’année des 25 ans de Google (Joyeux Anniversaire !).

Le Digital Market Act : vers la fin de la domination numérique des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) ?

Entré en vigueur le 2 mai 2023, le DMA fixe des obligations pour les grandes plateformes agissant en qualité de « contrôleurs d’accès » sur les marchés numériques. Cette nouvelle réglementation vise à protéger le consommateur en sanctionnant les pratiques déloyales des géants du numérique comme les GAFAM.

En quoi consiste le Digital Market Act et quelles sont les entreprises concernées ?

Une entreprise est considérée comme un « contrôleur d’accès » dès lors qu’elle réunit les conditions cumulatives suivantes :

  1. elle fournit un service de plateforme essentiel constituant un point d’accès majeur permettant aux entreprises utilisatrices d’atteindre un certain seuil d’utilisateurs finaux actifs par mois et d’entreprises utilisatrices dans l’Union Européenne par an ;
  2. elle a un poids important sur le marché intérieur en réalisant un chiffre d’affaires annuel dans l’Union Européenne ou en ayant une capitalisation boursière moyenne ou une valeur marchande dépassant un certain seuil et en fournissant dans au moins trois États Membres le service de plateforme essentiel dans les conditions décrites au point 1. ;
  3. elle jouit d’une position solide et durable dans ses activités, ou dans un avenir proche.

Si les conditions énumérées sont remplies, l’entreprise dispose d’un délai de deux mois à compter de l’atteinte des seuils pour en informer la Commission Européenne.

Si une entreprise remplit les conditions ci-dessus mais n’en informe pas la Commission Européenne, cette dernière pourra désigner l’entreprise en tant que contrôleur d’accès, sur la base des informations dont elle dispose.

Toute entreprise satisfaisant aux critères de contrôleur d’accès a dû se déclarer auprès de la Commission au plus tard le 3 juillet 2023. Celle-ci rendra une décision définitive au plus tard le 6 septembre 2023. Les entreprises certifiées contrôleurs d’accès auront alors jusqu’au 6 mars 2024 pour se conformer aux obligations du DMA, sous peine de sanctions (amendes, astreintes).

En quoi consiste le Digital Market Act et quelles sont les obligations ?

Toute plateforme numérique considérée comme contrôleur d’accès :

  • a l’interdiction de procéder à de la publicité ciblée : la collecte des données des consommateurs par les plateformes en ligne dans le but de générer des publicités hyper-personnalisées pour le consommateur est désormais interdite ;
  • a l’interdiction de procéder à de l’auto-favoritisme de leurs produits et ou services : certaines grandes plateformes en ligne ont eu recours à des pratiques anticoncurrentielles en manipulant les algorithmes afin de favoriser l’apparition de leurs propres produits dans la barre de recherche, ce qui est dorénavant interdit ;
  • doit faciliter les utilisateurs dans leur démarche de suppression de logiciel ou d’application préinstallée : lors d’un achat d’un smartphone type Apple ou Android, plusieurs applications sont déjà installées par défaut et il est quasi-impossible de les désinstaller. Avec l’entrée en vigueur du DMA, il est désormais possible de les supprimer ;
  • doit permettre aux plus petites entreprises d’accéder à leurs données générées sur la plateforme et d’autoriser les vendeurs à promouvoir leurs offres et conclure des contrats avec leurs clients en dehors des plateformes.

En cas de non-respect du DMA, les entreprises pourraient être sanctionnées par des amendes à hauteur de 10% du chiffre d’affaires mondial de l’exercice précédent, allant jusqu’à 20% en cas de récidive.

Tandis que le DMA vise à rétablir une libre concurrence en ligne en encadrant les procédés des géants du numérique, un autre texte européen a été introduit portant sur les services numériques afin de garantir un environnement en ligne en luttant contre la diffusion de contenus et produits illicites : le DSA.

Le Digital Service Act : une modération contre la diffusion en ligne des contenus illicites

Dans un but de lutter contre la diffusion des contenus et des produits et services en ligne (contenus racistes, haineux, pédopornographiques, faisant l’apologie du terrorisme, etc.), le DSA vient fixer des obligations proportionnelles aux entreprises qui varient en fonction de leur taille, de la nature de leurs services ou encore des risques qu’elles peuvent engendrer.

Le DSA a pour objectif de limiter la propagation des contenus illicites en exigeant des plateformes qu’elles améliorent leurs procédés (algorithmes) pour détecter les contenus illicites et renforcent la protection du consommateur en analysant les risques engendrés et en prenant les mesures nécessaires rapidement et de manière fiable (suppression des contenus rapidement, blocage des faux profils, meilleure traçabilité des informations, etc.)

Quels sont les acteurs visés par le Digital Service Act ?

Toute entreprise fournissant des services intermédiaires en ligne (services d’hébergement, service de cache, services de transport, services d’informatique en nuage (cloud), fournisseurs d’internet (FAI), etc.) au sein de l’Union Européenne est concernée par le DSA.

Il s’agira principalement des hébergeurs, des places de marché en ligne, des moteurs de recherche, des plateformes de partage de contenus ou encore des réseaux sociaux.

Des obligations proportionnelles à la taille de l’entreprise

Les obligations imposées par le DSA sont proportionnelles : les très grandes plateformes et très grands moteurs de recherche dépassant un certain seuil d’utilisateurs actifs mensuels dans l’Union Européenne sont soumis à des obligations supplémentaires tandis que les très petites entreprises et petites entreprises n’atteignant pas un certain seuil de salariés et de chiffres d’affaires annuel sont dispensées d’une partie du règlement.

Le 25 avril 2023, la Commission Européenne a publié sur son site accessible ici une première liste de 17 très grandes plateformes (Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube et Zalando) et de deux grands moteurs de recherche (Bing et Google Search).

Un socle commun de règles applicables aux hébergeurs et aux plateformes a été introduit par le DSA. En fonction de l’entreprise concernée (services intermédiaires, hébergeurs, très grandes plateformes et très grands moteurs de recherche), des obligations supplémentaires s’ajoutent.

En effet :

  • Les fournisseurs intermédiaires ont une obligation d’information générale comprenant notamment :
    • la transmission d’informations fournies par un bénéficiaire du service sur un réseau de communication (numéros de téléphone, adresses de courrier électronique, informations fournies via des formulaires de contact électroniques, des dialogueurs ou des messageries instantanées) ;
    • la fixation de certaines règles concernant le contenu, l’application et la mise en application de leurs conditions générales, de leurs conditions de protection des destinataires du service et de prévention de conséquences ;
    • le renforcement de la protection des mineurs en facilitant la compréhension des conditions générales pour les mineurs.
  • Les plateformes sont soumises quant à elles à l’obligation de renforcer la sécurité sur leur site par la mise en place d’un système de traitement relatif au signalement des utilisateurs en retirant tout contenu et produit illicite dans les plus brefs délais ;
  • Les très grandes plateformes et très grands moteurs de recherche ont des obligations graduelles comme :
    • Evaluer annuellement les risques liés à leurs services ;
    • Fournir leur algorithme aux autorités nationales compétentes et à la Commission Européenne ;
    • Arrêter le profilage ciblé des internautes et accroître la protection des mineurs en ligne.

Contrôle et sanctions du Digital Service Act

Afin de veiller à la bonne application du DSA, un coordinateur des services numériques (autorité indépendante désignée par chaque Etat membre) sera chargé de contrôler et recevoir les plaintes des internautes. En France, le coordinateur désigné est l’ARCOM.

La Commission Européenne sera quant-à-elle chargée de surveiller les très grandes plateformes en ligne et les très grands moteurs de recherche aux frais des entreprises.

Toute violation des règles du DSA fera l’objet de sanctions et d’amendes effectives, dissuasives et proportionnelles, allant jusqu’à 6% des revenus ou chiffre d’affaires annuel de l’entreprise, voire une interdiction de pratiquer sur le marché européen.

Calendrier du Digital Service Act

Le DSA sera directement applicable dans l’ensemble de l’Union Européenne à partir du 25 août 2023 pour les grandes plateformes et moteurs en ligne, et à compter du 17 février 2024 pour les autres services intermédiaires et autres entreprises.

Découvrez toute l'actualité juridique

Abonnez-vous à notre newsletter

Recevez tous les mois l’actualité juridique commentée par notre équipe et les incontournables à ne pas rater.

En soumettant ce formulaire, vous acceptez que vos données personnelles soient traitées conformément à la Politique de confidentialité.