Qu’est-ce que le European Digital Markets Act (DMA) ?
Le European Digital Markets Act (DMA), ou législation de l’UE sur les marchés numériques, est un règlement qui concerne les entreprises exerçant des activités commerciales dans l’Union européenne. Depuis son entrée en vigueur en novembre 2022, il répond aux préoccupations relatives aux pratiques anticoncurrentielles des grandes entreprises technologiques (les contrôleurs d’accès) qui contrôlent une bonne partie de l’activité en ligne et traitent une quantité considérable de données consommateurs.
Le DMA vise à influer sur la concurrence et à garantir l’équité et la transparence des contrôleurs d’accès. En raison de leur influence considérable sur le marché et les consommateurs, le DMA encadre de multiples services technologiques, y compris les moteurs de recherche, les services cloud, les réseaux sociaux, les plateformes de partage de vidéos, les réseaux de publicité en ligne, et d’autres produits et services appartenant aux géants du numérique.
L’un des principaux objectifs du DMA est de niveler le champ d’action pour les petites entreprises de l’espace numérique et d’assurer une meilleure protection des droits et des données des utilisateurs. Par exemple, il existe de nouvelles restrictions sur l’accès aux données et les utilisateurs peuvent désormais désinstaller les applications préchargées sur leurs téléphones, dans les navigateurs et sur d’autres plateformes.
Qui sont les contrôleurs d’accès en vertu du DMA et que contrôlent-ils ?
Grandes entreprises technologiques, géants de la technologie, contrôleurs d’accès : tous font plus ou moins référence aux mêmes acteurs. Quelles entreprises la Commission européenne a -t-elle identifié comme très influentes, ayant un impact important sur le marché et jouant le rôle d’intermédiaire entre les consommateurs et de nombreuses autres entreprises ?
Elles sont au nombre de six :
- Alphabet (société mère de Google et Android) ;
- Amazon ;
- Apple ;
- ByteDance (société mère de TikTok) ;
- Meta (société mère de Facebook, Instagram, WhatsApp, etc.) ;
- Microsoft (société mère de LinkedIn).
Toutes ces sociétés sont établies aux États-Unis, à l’exception de ByteDance, qui est chinoise. La Commission européenne a également répertorié 22 plateformes/services essentiels gérés par ces contrôleurs d’accès :
- 1 moteur de recherche (Google) ;
- 1 plateforme de partage de vidéos (YouTube) ;
- 2 grands services de communication (Facebook Messenger et WhatsApp, appartenant tous deux à Meta) ;
- 2 navigateurs web (Chrome et Safari) ;
- 3 grands systèmes d’exploitation (Google Android, iOS, Windows PC OS) ;
- 3 services de publicité en ligne (Amazon, Google et Meta) ;
- 4 réseaux sociaux (Facebook, Instagram, LinkedIn, TikTok) ;
- 6 plateformes dites « d’intermédiation » (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace).
Parmi les omissions à noter figurent le conglomérat coréen Samsung (leader du marché des appareils mobiles fonctionnant sous Android), le service de messagerie web Gmail de Google et le service de messagerie web Outlook de Microsoft.
L’explication de la Commission européenne concernant la décision d’exclure ces fournisseurs et services était la suivante :
« La Commission a conclu que, bien que Gmail, Outlook.com et Samsung Internet Browser atteignent les seuils fixés par le règlement sur les marchés numériques pour être considérés comme contrôleur d’accès, Alphabet, Microsoft et Samsung ont fourni des arguments suffisamment solides indiquant que ces services ne sauraient être considérés comme des points d’accès pour les services de plateforme essentiels concernés. Par conséquent, la Commission a décidé de ne pas désigner Gmail, Outlook.com et Samsung Internet Browser comme des services de plateforme essentiels. Il s’ensuit que Samsung n’est désignée comme contrôleur d’accès pour aucun service de plateforme essentiel. »
Quelles sont les obligations du contrôleur d’accès en vertu du DMA ?
En vertu du DMA, les contrôleurs d’accès ont jusqu’au 6 mars 2024 pour se conformer à la liste d’obligations et d’interdictions. Ces exigences visent à renforcer la protection de la vie privée des utilisateurs et à garantir une concurrence loyale sur les marchés numériques.
La liste des obligations porte sur un écosystème plus large et sur le partage d’informations. La liste des interdictions proscrit notamment les traitements préférentiels, les silos, le suivi excessif et la limitation des choix des utilisateurs.
Comment les contrôleurs d’accès ont -ils réagi ?
La réaction des géants de la technologie a été mitigée. Google a annoncé qu’il allait apporter des modifications, comme indiqué dans un article de blog : « Notre objectif est de mettre en œuvre des modifications conformes à cette nouvelle législation, tout en préservant l’expérience utilisateur et en fournissant des produits de valeur, novateurs et sûrs aux utilisateurs européens. » (Traduit de l’anglais)
Microsoft s’est réjoui de la décision de la Commission européenne d’étudier de possibles dérogations au DMA pour des services tels que Bing, Edge et Microsoft Ads. L’entreprise a indiqué accepter sa désignation en tant que contrôleur d’accès.
Apple et TikTok ont réagi moins positivement. Apple a fait part de ses préoccupations quant au DMA concernant les risques pour la vie privée et la sécurité des données. Dans un communiqué, Apple a souligné son engagement à « limiter ces impacts et continuer à fournir les meilleurs produits et services à ses clients européens » (traduit de l’anglais).
ByteDance (la société mère de TikTok) a déclaré qu’elle se conformerait à ces nouvelles règles, tout en étant « fondamentalement en désaccord avec cette décision », contestant la pertinence de son inscription dans la liste. En outre, elle « regrette qu’aucune enquête de marché n’ait été menée avant cette décision » (traduit de l’anglais).
Meta botte en touche avec cette déclaration d’un porte-parole : « Nous évaluons actuellement les désignations de la Commission et nous fournirons des informations complémentaires en temps voulu en marge de nos efforts pour nous conformer au DMA. »
Qu’exige le Digital Markets Act des contrôleurs d’accès ?
Il existe trois grandes catégories de changements ou nouvelles responsabilités pour les contrôleurs d’accès :
- interopérabilité et non-discrimination ;
- portabilité des données et accès aux données ;
- transparence et profilage.
Exigences du DMA en matière d’interopérabilité et de non-discrimination
Une grande partie des exigences du DMA vise à développer l’écosystème numérique de manière saine et durable. Les contrôleurs d’accès devront garantir l’interopérabilité de leurs plateformes et services avec des tiers. Des communications et des intégrations avec les plateformes des contrôleurs d’accès sont nécessaires. Cela permet d’éviter les avantages excessifs et de favoriser la concurrence. Les contrôleurs d’accès ne doivent pas privilégier leurs services par rapport à ceux de plus petits concurrents.
Les exigences en matière de non-discrimination se concentrent sur le traitement équitable de toutes les entreprises, visant à empêcher le traitement préférentiel pour les produits et services des contrôleurs d’accès, ou ceux de partenaires privilégiés.
Exigences du DMA en matière de portabilité des données et d’accès aux données
En vertu du DMA, les contrôleurs d’accès ne peuvent pas empêcher les utilisateurs de changer de services ou de fournisseurs de services. Les utilisateurs doivent avoir le contrôle sur leurs données et être en mesure de les transférer vers un autre service ou une autre plateforme, principes également connus sous le nom de « portabilité des données » en vertu de nombreuses lois sur la protection de la vie privée.
Les utilisateurs, les entreprises et d’autres tiers doivent également disposer d’un accès en temps réel aux données qu’ils génèrent sur les plateformes des contrôleurs d’accès, le cas échéant. Cela peut passer par des demandes d’accès aux données ou des demandes des personnes concernées.
Exigences du DMA en matière de transparence et de profilage
Les contrôleurs d’accès doivent fournir des informations claires et vérifiées sur les modalités de profilage des consommateurs sur leurs plateformes. À l’instar de nombreuses lois sur la protection de la vie privée qui prévoient des exigences en matière de traitement des données, y compris les finalités et le partage, le DMA exige que des informations soient fournies sur la finalité, la durée et l’impact du profilage des consommateurs.
Les contrôleurs d’accès doivent également s’assurer de tout mettre en œuvre pour obtenir le consentement des utilisateurs et de proposer des options permettant aux utilisateurs de retirer ou refuser leur consentement à la collecte et l’utilisation des données. Au fond, l’objectif est de s’assurer que les consommateurs sont sensibilisés et informés sur la nature des données qu’ils fournissent aux entreprises, sur la manière dont elles sont utilisées et sur leurs droits en matière de protection de la vie privée.
Quels sont les avantages du Digital Markets Act ?
Si le DMA cible les grandes entreprises technologiques, un large éventail d’acteurs économiques bénéficient de ses exigences.
Consommateurs : accès à des services plus nombreux et de meilleure qualité, plus de possibilités pour changer de fournisseur, accès direct aux services, tarifs plus compétitifs, meilleure protection des données.
Entreprises : une plus grande équité sur le marché pour les petites entreprises qui dépendent des services fournis par les contrôleurs d’accès.
Contrôleurs d’accès : maintien des opportunités d’innovation et de déploiement de nouveaux produits et services. Plus de clarté sur les pratiques commerciales autorisées.
Start-ups et innovateurs technologiques : nouvelles opportunités en matière de compétitivité sur les plateformes en ligne et dans l’écosystème numérique sans avoir à se conformer à des conditions générales onéreuses imposées par des tiers , qui freinent la croissance.
Que prévoit le DMA sur la confidentialité des utilisateurs et la gestion du consentement ?
Le respect de la vie privée des utilisateurs et la protection des données sont au cœur du DMA. Aussi, l’impact de ce règlement européen devrait donc être majeur. Le DMA limite les bases légales sur lesquelles les contrôleurs d’accès peuvent s’appuyer pour traiter les données à caractère personnel. Si les entreprises concernées revendiquent une obligation légale, un intérêt vital ou un intérêt public, elles doivent être en mesure de les justifier. Le consentement de l’utilisateur est également une base légale solide, mais il doit être obtenu en bonne et due forme.
Le marketing basé sur le consentement met l’accent sur l’importance et les avantages d’obtenir le consentement explicite et éclairé des utilisateurs, et de garantir à ces derniers le contrôle de leurs données avant la collecte et le traitement à des fins de marketing. Le DMA soutient donc cette démarche.
Exigences du DMA relatives au consentement valable de l’utilisateur
Pour traiter les données à caractère personnel des utilisateurs pour diverses raisons, les contrôleurs d’accès doivent obtenir un consentement valable de leur part et ne sont pas autorisés à utiliser des pratiques de conception manipulatrices pour l’obtenir (p. ex. des interfaces truquées [dark patterns]). Les activités nécessitant un consentement préalable comprennent la publicité en ligne ou la combinaison de données à caractère personnel provenant de différents services. Les utilisateurs doivent également être informés de la possibilité de refuser de donner leur consentement et des conséquences de cette décision.
Exigences du DMA relatives au partage de données à caractère personnel
Le DMA vise à éliminer les avantages concurrentiels déloyaux et les silos d’information au sein des entreprises technologiques disposant de plateformes qui collectent et traitent les données à caractère personnel des consommateurs. Il exige que les contrôleurs d’accès partagent (avec des restrictions) les données qu’ils collectent, sur demande, avec d’autres entreprises ou annonceurs opérant sur leurs plateformes. Cela permet à ces petites entreprises d’utiliser les données utilisateur à des fins de publicité ciblée ou de personnalisation des services.
Le partage des données doit être raisonnable et ne peut se faire de manière préférentielle. La protection de la vie privée des utilisateurs et des données doit être une priorité.
Que prévoit le DMA sur les droits à la portabilité des données ?
Bien que le droit à la portabilité des données ne soit pas consacré dans toutes les lois sur la protection de la vie privée, il est inscrit dans le RGPD et le DMA. Les contrôleurs d’accès doivent permettre aux utilisateurs de demander l’accès à leurs données à caractère personnel (généralement dans un format communément utilisable) et de les transférer vers d’autres plateformes ou services. Ce droit permet aux utilisateurs de garder le contrôle sur leurs données et ne les pénalise pas lorsqu’ils quittent une plateforme ou cessent d’utiliser un service. Il permet également de promouvoir la concurrence entre les fournisseurs de plateformes et autres, et les incite à fournir des expériences et services optimaux aux utilisateurs.
Que prévoit le DMA sur la transparence et le contrôle par l’utilisateur ?
En vertu des lois sur la protection de la vie privée, les utilisateurs doivent être informés de la collecte et de l’utilisation des données. Le DMA n’a rien de différent sur ce point. Les consommateurs doivent être en mesure de faire des choix éclairés sur l’accès à leurs données et leur utilisation. Cela est rendu possible grâce aux notifications concernant les données collectées, les finalités de leur utilisation, les personnes avec lesquelles elles peuvent être partagées, et bien plus encore.
Les techniques de profilage doivent être clairement expliquées par les contrôleurs d’accès, lesquels sont tenus de demander aux utilisateurs leur consentement avant d’avoir recours à la publicité ciblée. Les utilisateurs doivent également être en mesure de refuser ou de retirer leur consentement à tout moment.
Conformité au DMA et plateformes de gestion du consentement
Toutes les entreprises qui collectent et utilisent les données à caractère personnel des consommateurs ont la responsabilité d’informer les utilisateurs sur la collecte et l’utilisation des données, ainsi que de les obtenir de manière conforme (par exemple, moyennant le consentement) et de les gérer et les partager en toute sécurité. Sont concernés les contrôleurs d’accès, mais aussi les organisations tierces qui utilisent leurs services.
Il reste encore à déterminer précisément la manière dont les contrôleurs d’accès et les tiers, comme les annonceurs, pourront assurer la conformité et utiliser les données, ainsi que les exigences légales et techniques exactes. Toutefois, les lois sur la protection de la vie privée existantes, telles que le RGPD, prévoient déjà des exigences strictes et des bonnes pratiques pour les entreprises qui exercent leur activité dans l’UE. Le DMA se veut compatible avec les réglementations existantes (et éventuellement futures).
Les tiers qui utilisent les plateformes et les services des contrôleurs d’accès, tels que les sites web et les applications, joueront un rôle majeur dans la collecte du consentement des utilisateurs avant que les données à caractère personnel ne soient collectées et utilisées. Bien que les contrôleurs d’accès soient tenus de se conformer au DMA, ces petites entreprises qui utilisent leurs plateformes et commercent avec eux seront en première ligne, pour ainsi dire, en ce qui concerne l’engagement des utilisateurs, l’obtention du consentement, etc.
Une plateforme de gestion du consentement peut s’avérer un outil essentiel pour obtenir le consentement conforme des utilisateurs à l’utilisation des données. Les plateformes de gestion du consentement (CMP) telles que la solution de consentement Cookiebot™ et le Usercentrics CMP sont déjà des outils précieux pour les entreprises de tous types et de toutes tailles. En effet, elles peuvent ainsi obtenir un consentement valable des utilisateurs et se conformer aux lois sur la protection des données.
Usercentrics, la société mère de Cookiebot™, suit de près les derniers développements afin de s’assurer que les solutions proposées respectent les législations actuelles et à venir, et notamment la législation sur les marchés numériques (Digital Markets Act, DMA).
Défis de la mise en œuvre et implications futures
Alors que les contrôleurs d’accès et d’autres organisations doivent déjà se conformer aux réglementations existantes en matière de protection de la vie privée, le DMA demandera assurément des efforts supplémentaires et posera sûrement certains défis.
Des adaptations nécessaires des pratiques de collecte et de traitement des données, des mises à jour et changements technologiques, ainsi que d’autres mesures seront probablement nécessaires pour répondre aux exigences de conformité du DMA. Les organismes de réglementation joueront un rôle important dans l’application de cette nouvelle législation. Ils devront s’assurer que les contrôleurs d’accès ne se contentent pas de belles paroles, mais qu’ils respectent bien toutes les exigences du DMA, notamment celles relatives au partage de données.
Le Digital Markets Act et son rôle dans l’écosystème numérique
Le DMA vient renforcer les droits des consommateurs concernant leurs données à caractère personnel, tout en assurant la protection des données et de ces droits. L’ obligation pour les contrôleurs d’accès identifiés de respecter le DMA et les restrictions imposées à ces sociétés permettent également de niveler le champ d’action des marchés numériques et d’aider les petites entreprises à être compétitives à l’échelle mondiale. Cela favorisera également l’innovation et permettra d’améliorer l’ expérience en ligne des utilisateurs. Le DMA vise à créer un écosystème numérique plus transparent et centré sur l’utilisateur.
Nous nous engageons à vous tenir informés de la mise en œuvre de ce règlement et des implications d’autres lois sur la protection de la vie privée. Pour recevoir des mises à jour directement dans votre boîte de réception, abonnez-vous à notre newsletter.
Usercentrics (Cookiebot™) ne fournit pas de conseils juridiques et les informations sont fournies à des fins uniquement pédagogiques. Nous vous recommandons de toujours faire appel à un conseiller juridique qualifié ou à des spécialistes de la protection de la vie privée en ce qui concerne les questions et les opérations relatives à la confidentialité et à la protection des données.