DMA : le règlement sur les marchés numériques veut mettre fin à la domination des géants du Net

Les géants du Net vont devoir se plier à de nouvelles obligations et interdictions sous peine de lourdes amendes, en vertu du règlement sur les marchés numériques (DMA) du 14 septembre 2022. L’Union européenne veut mettre fin à la domination de ces géants en leur imposant des règles qui profiteront aux entreprises et aux internautes européens.

Le règlement DMA (pour Digital Markets Act) du 14 septembre 2022 est, avec le règlement sur les services numériques (DSA), un des grands chantiers numériques de l’Union européenne (UE). Présenté fin 2020 par la Commission européenne, il a été définitivement voté par le Parlement européen et approuvé par le Conseil de l'UE en juillet 2022. Il a été publié le 12 octobre 2022.

Le DMA sera applicable au 2 mai 2023. D'ici là, la Commission européenne doit prendre des actes pour la mise en oeuvre des nouvelles règles qu'il pose et installer le comité et le groupe d'experts qui l'assisteront.

Quels sont les objectifs du règlement DMA ?

La législation sur les marchés numériques (DMA) vise à lutter contre les pratiques anticoncurrentielles des géants d’internet et corriger les déséquilibres de leur domination sur le marché numérique européen.

Le modèle économique de ces acteurs, en particulier des GAFAM (Google, Apple, Facebook, Amazon et Microsoft), repose sur la combinaison de masses de données sur leurs utilisateurs et d'algorithmes puissants et opaques. Grâce aux forts effets de réseau et à leurs écosystèmes enfermant les internautes-consommateurs, ces grands acteurs ont acquis une position de quasi-monopole sur le marché européen, laissant peu de place à la concurrence. À eux seuls, les GAFAM représentent un chiffre d'affaires comparable aux recettes fiscales de la France.

Selon la Commission européenne, plus de 10 000 plateformes en ligne – dont 90% sont des petites et moyennes entreprises - opèrent aujourd’hui en Europe, mais seules les plus grandes plateformes dites "systémiques" captent l’essentiel de la valeur du marché numérique européen.

C’est pourquoi des outils de régulation sont mis en place en amont pour :

  • créer une concurrence loyale entre les acteurs du numérique, notamment au profit des petites et moyennes entreprises et des start-up européennes ;
  • stimuler l’innovation, la croissance et la compétitivité sur le marché numérique ;
  • renforcer la liberté de choix des consommateurs européens.

Cette régulation a priori (ex ante) vient compléter le droit de la concurrence. Le droit de la concurrence, qui sanctionne a posteriori (ex post) des ententes ou des abus de position dominante, ne suffit plus aujourd’hui à réguler efficacement le marché numérique. Les amendes prononcées par la Commission européenne ou par les autorités nationales de la concurrence interviennent en effet souvent trop tard, après de longues enquêtes. Cette lenteur des procédures n'incite pas les géants d'internet à modifier en profondeur leur comportement, sans compter les recours judiciaires qui suivent.

Avec cette nouvelle législation, l'UE souhaite devenir un modèle, au niveau mondial, dans le domaine de l’économie numérique.

Quelles sont les activités visées par le DMA ?

Le règlement couvre des services en ligne très répandus et couramment utilisés, fournis ou proposés par les grandes plateformes. Il liste dix "services de plateforme essentiels" ou de base qui posent aujourd’hui problème. Il s’agit des :

  • services d’intermédiation (comme les places de marché, les boutiques d'applications) ;
  • moteurs de recherche ;
  • réseaux sociaux ;
  • plateformes de partage de vidéos ;
  • messageries en ligne ;
  • systèmes d’exploitation (dont les télévisions connectées) ;
  • services en nuage (cloud) ;
  • services publicitaires (tels les réseaux ou les échanges publicitaires) ;
  • navigateurs web ;
  • assistants virtuels.

Quelles sont les entreprises concernées par le DMA ?

Le règlement DMA cible uniquement les entreprises qui sont des "contrôleurs d’accès" à l'entrée d'internet, les gardes-barrières (gatekeepers) de l'internet. Il s’agit d’acteurs qui ont une forte incidence sur le marché intérieur, sont un point d’accès important des entreprises utilisatrices pour toucher leur clientèle et occupent ou occuperont dans un avenir proche une position solide et durable. Peu importe qu’ils soient établis en Europe ou ailleurs dans le monde.

Sont présumées être des contrôleurs d’accès, au sens de la nouvelle législation européenne, les entreprises qui :

  • fournissent un ou plusieurs services de plateforme essentiels dans au moins trois pays européens ;
  • ont un chiffre d’affaires ou une valorisation boursière très élevé : 7,5 milliards d'euros au moins de chiffre d'affaires annuel en Europe dans les trois dernières années ou 75 milliards d'euros ou plus de capitalisation boursière durant la dernière année ;
  • enregistrent un grand nombre d’utilisateurs dans l'UE : plus de 45 millions d'Européens par mois et 10 000 professionnels par an pendant les trois dernières années.

Les entreprises qui atteignent ces seuils chiffrés devront s’identifier auprès de la Commission européenne, qui les désignera formellement comme contrôleur d’accès. À défaut ou si les entreprises ne coopèrent pas aux enquêtes de marché, la Commission pourra les désigner unilatéralement.

Elle pourra aussi désigner comme contrôleur d’accès des entreprises qui ne rempliraient pas tous ces seuils mais sont jugées trop dominantes, en fonction de certains critères (taille de la plateforme, barrières à l’entrée…).

Les entreprises concernées pourront contester leur désignation.

Une même entreprise pourra être désignée comme contrôleur d'accès pour plusieurs services de plateforme essentiels (par exemple un moteur de recherche et un assistant virtuel).

La liste des contrôleurs d’accès et la liste des services de plateforme essentiels qu’ils fournissent seront publiées par la Commission et révisées au moins tous les trois ans.

À savoir 

Les PME sont - hors cas exceptionnels - exemptées de la qualification de contrôleur d'accès. Une catégorie de "contrôleur d'accès émergent" est également prévue, afin d'imposer certaines obligations aux entreprises dont la position concurrentielle est démontrée mais pas encore durable.

Un comité consultatif et un groupe d’experts numériques assisteront la Commission européenne dans son travail. Les autorités nationales de la concurrence pourront, de leur côté, enquêter sur d'éventuelles infractions aux règles du DMA et transmettre leurs conclusions à la Commission.

Que va changer le DMA ?

Les entreprises désignées comme gatekeepers devront nommer un ou plusieurs responsables de la conformité avec le règlement, sous peine d'amende, et respecter une petite vingtaine d’obligations ou d'interdictions, pour chacun de leurs services de plateforme essentiels. Certaines sont applicables à tous, d'autres seront prononcées sur mesure.

Les contrôleurs d'accès devront par exemple :

  • rendre aussi facile le désabonnement que l'abonnement à un service de plateforme essentiel ;
  • permettre de désinstaller facilement sur son téléphone, son ordinateur ou sa tablette des applications préinstallées ;
  • rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée (Whatsapp, Facebook Messenger…) avec leurs concurrents plus modestes ;
  • autoriser les vendeurs à promouvoir leurs offres et à conclure des contrats avec leurs clients en dehors des plateformes ;
  • donner aux vendeurs l'accès à leurs données de performance marketing ou publicitaire sur leur plateforme ;
  • informer la Commission européenne des acquisitions et fusions qu'ils réalisent.

Les contrôleurs d'accès ne pourront plus notamment :

  • imposer les logiciels les plus importants (navigateur web, moteurs de recherche, assistants virtuels) par défaut à l'installation de leur système d'exploitation. Un écran multi-choix devra être proposé pour pouvoir opter pour un service concurrent ;
  • favoriser leurs services et produits par rapport à ceux des vendeurs qui utilisent leur plateforme (auto-préférence) ou exploiter les données des vendeurs pour les concurrencer ;
  • réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée, sans son consentement explicite ;
  • imposer aux développeurs d'application certains services annexes (système de paiement par exemple).

Une personne lésée par un contrôleur d'accès pourra s'appuyer sur la liste de ces obligations et interdictions pour demander des dommages et intérêts devant les juges nationaux.

Cette liste pourra être complétée par la Commission, en fonction de l'évolution des pratiques des géants d'internet et des marchés numériques.

Quelles sanctions en cas de non-respect du DMA ?

En cas d'infraction, la Commission européenne pourra prononcer contre le contrôleur d'accès une amende pouvant aller jusqu'à 10% de son chiffre d'affaires mondial total et, en cas de récidive, jusqu'à 20% de ce chiffre d'affaires. Elle pourra aussi prononcer des astreintes allant jusqu'à 5% de son chiffre d'affaires journalier mondial total.

Si l'entreprise viole systématiquement la législation européenne, à savoir à partir de "trois violations sur huit ans", la Commission pourra ouvrir une enquête de marché et, si besoin, imposer des mesures correctives comportementales ou structurelles. La Commission européenne pourra, par exemple, obliger le contrôleur d'accès à céder une activité (vente d'unités, d'actifs, de droits de propriété intellectuelle ou de marques) ou lui interdire d'acquérir des entreprises qui fournissent des services dans le numérique ou des services de collecte de données.