Ressources Digital Markets Act (DMA)

Le DMA est une réglementation qui s’applique aux grandes entreprises technologiques exerçant leurs activités au sein de l’Union européenne ou dans l’Espace économique européeni. L’objectif de cette réglementation est de renforcer l’équité et l’innovation, et d’accroître la concurrence. Le DMA exige d’améliorer la transparence, l’accès aux données et l’interopérabilité entre les plateformes. Il contribue également à améliorer la protection de la vie privée des utilisateurs et à offrir plus de choix aux consommateurs.

La Commission européenne a désigné six sociétés comme « contrôleurs d’accès » en vertu du DMA, qui auront des obligations spécifiques. Les entreprises tierces ayant recours aux plateformes et aux services des contrôleurs d’accès pour la publicité, le suivi et d’autres activités liées aux données, devront également répondre à certaines exigences de conformité pour maintenir leurs activités commerciales et leur croissance dans l’écosystème numérique des contrôleurs d’accès au sein de l’UE.

Le DMA est officiellement entré en vigueur le 1er novembre 2022. La plupart de ses dispositions étaient déjà appliquées en mai 2023, et la CE a désigné les contrôleurs d’accès le 6 septembre 2023. Les contrôleurs d’accès ont jusqu’au 6 mars 2024 pour se mettre en conformité avec le DMA.

Le DMA s’applique aux entreprises qui exercent leurs activités sur les marchés numériques au sein de l’Union européenne et de l’Espace économique européen, ainsi qu’aux utilisateurs et consommateurs résidant dans ces régions.

Le DMA s’applique aux sociétés qui exploitent de grandes plateformes en ligne sur la base de critères précis. Voici certains d’entre eux :

• avoir une part de marché, une audience et une influence considérables sur les marchés numériques,
• agir en tant qu’intermédiaire entre les entreprises et les utilisateurs,
• jouir d’une position de force durable sur le marché et d’une influence significative sur l’innovation.

Les sociétés qui possèdent ces plateformes et services ont été désignées par la CE comme « contrôleurs d’accès » et feront l’objet de responsabilités réglementaires et d’une surveillance accrues en vertu du DMA.

Bien que le DMA s’applique aux contrôleurs d’accès, les petites entreprises devront tout de même le connaître et le comprendre, étant donné ses implications directes sur la façon dont elles utilisent les grandes plateformes et les services en ligne détenus par les contrôleurs d’accès. Les chefs d’entreprise seront tenus de se conformer aux exigences légales de conformité imposées à des tiers par des entreprises telles que Google et Amazon.

Le DMA porte sur plusieurs aspects, notamment le renforcement de l’équité, de la concurrence sur les marchés numériques et de la transparence, sans oublier l’amélioration de la protection des données des consommateurs. Cette législation devrait aider les petits acteurs à se développer et à innover pour concurrencer les grandes plateformes technologiques, et vise à empêcher les contrôleurs d’accès d’user de leur position dominante pour freiner la croissance et la concurrence.

À ce jour, la Commission européenne a désigné les sociétés suivantes comme « contrôleurs d’accès » (cette liste est susceptible d’évoluer dans le futur) :

• Alphabet (société mère de Google et Android)
• Amazon
• Apple
• ByteDance (propriétaire de TikTok)
• Meta (société mère de Facebook, Instagram, WhatsApp, etc.)
• Microsoft

Ces plateformes, services et systèmes d’exploitation, entre autres, sont détenus et gérés par les contrôleurs d’accès et sont considérés comme faisant partie intégrante des activités commerciales numériques. Ils disposent également d’une large base d’utilisateurs, génèrent d’énormes quantités de données et ont une influence significative sur l’activité des utilisateurs, les fonctions du marché, les événements sociaux et politiques, etc. Les CPS incluent des moteurs de recherche en ligne, des systèmes d’exploitation, des navigateurs web, des assistants vocaux, des réseaux sociaux en ligne, des plateformes de partage de vidéos, etc. À ce jour, 22 CPS ont été identifiés par le DMA, mais cette liste pourra évoluer :

• 6 plateformes d’intermédiation (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store et Meta Marketplace),
• 4 réseaux sociaux (Facebook, Instagram, LinkedIn et TikTok),
• 3 services de publicité en ligne (Amazon, Google et Meta),
• 3 grands systèmes d’exploitation (Google Android, iOS et Windows PC OS),
• 2 grands services de communication (Facebook Messenger et WhatsApp),
• 2 navigateurs web (Chrome et Safari),
• 1 moteur de recherche (Google),
• 1 plateforme de partage de vidéos (YouTube).

Les principales obligations des contrôleurs d’accès en vertu du DMA sont les suivantes :

• éliminer les pratiques anticoncurrentielles ou d’autres pratiques déloyales ou biaisées,
• donner accès à des tiers aux données générées ou collectées sur leurs plateformes,
• garantir l’interopérabilité et la portabilité,
• ne pas favoriser leurs propres produits ou services, ou ceux de leurs partenaires.

Compte tenu de leurs nouvelles obligations liées au DMA, les contrôleurs d’accès devront probablement revoir et modifier sensiblement leurs modèles économiques et activités commerciales, afin de se conformer à cette législation. Il est probable que les contrôleurs d’accès et les entreprises tierces ayant recours à ces plateformes doivent investir dans la technologie, le personnel et les ressources juridiques, ce qui pourrait augmenter leurs coûts d’exploitation.

Le DMA prévoit des amendes et d’autres pénalités en cas de non-conformité des plateformes, ce qui peut représenter de nouveaux coûts pour les contrôleurs d’accès et, en aval, pour les tiers. La perte d’accès aux plateformes des contrôleurs d’accès pour les tierces parties non conformes présente un risque financier important.

Au fil du temps, le DMA devrait favoriser l’innovation et la croissance des petites entreprises afin de créer un marché plus équitable. Les entreprises devraient pouvoir, à terme, récupérer leurs investissements en se développant et élargissant leur base d’utilisateurs.

Les consommateurs pourront bénéficier de tarifs plus compétitifs et de l’innovation accrue des plateformes et services technologiques. Les consommateurs de l’UE pourront changer de fournisseur plus facilement tout en faisant migrer leurs données. Ils auront plus de contrôle sur les applications et services qu’ils utilisent, et sur la façon dont ils personnalisent leurs expériences utilisateur. Les consommateurs bénéficieront également d’une meilleure protection des données et d’une optimisation de leurs choix concernant l’utilisation de leurs données à caractère personnel.

Les tiers ayant recours aux plateformes et aux services des contrôleurs d’accès devront obtenir le consentement valable de l’utilisateur et le notifier aux contrôleurs d’accès, par l’intermédiaire du mode Consentement de Google (dans le cas des plateformes Google). Les entreprises qui exercent leurs activités dans l’UE et qui collectent et traitent les données à caractère personnel des consommateurs doivent déjà se conformer au RGPD. Une plateforme de gestion du consentement telle que Cookiebot CMP permet aux entreprises d’obtenir un consentement préalable (opt-in) pour l’utilisation des cookies et des traceurs qui collectent des données à caractère personnel. En outre, Cookiebot CMP conserve les informations en toute sécurité et peut les notifier aux contrôleurs d’accès, conformément aux nouvelles exigences. Les données relatives au consentement seront également disponibles pour les autorités de protection des données en cas d’audit.