Comment l'Union européenne contrôle-t-elle les plateformes numériques et quels sont les résultats ?

Les plateformes numériques jouent un rôle croissant dans le quotidien des Européens bien qu'elles soient principalement américaines (les "MAMAA" pour Microsoft, Amazon, Meta, Apple et Alphabet) et chinoises (les "BATX" pour Baidu, Alibaba, Tencent, et Xiaomi). 

Elles nous sont désormais indispensables pour communiquer (WhatsApp, TikTok, etc.), acheter ou vendre des produits (Amazon, Apple AppStore, etc.) ou bien nous informer (Google, X, etc.). Ceci a pour conséquence que leur fonctionnement soulève des risques sur le plan politique (désinformation, ingérence, etc.), social (protection des mineurs, etc.), économique (travailleurs liés à l'activité de ces plateformes, etc.) ou bien technologique (aucune des grandes plateformes n'est européenne). 

Afin d'appréhender ces enjeux, l'Union européenne (UE) encadre l'activité des plateformes numériques à travers des réglementations dont l'application est contrôlée et la violation sanctionnée. 

L'activité des plateformes numériques obéit à des règles éparses et innombrables. Depuis leur émergence, ces plateformes sont considérées comme des entreprises ordinaires et doivent respecter l'ensemble des règles de l'UE qui leur sont applicables. Dans ce cadre, deux législations européennes sont particulièrement sollicitées. 

La première est la réglementation sur la concurrence dans le marché intérieur qui sanctionne les ententes et les abus de position dominante des entreprises (articles 101 et 102 du Traité sur le fonctionnement de l'UE). Microsoft a, par exemple, été sanctionnée en 2004 par la Commission européenne à payer une amende de 497,2 millions d'euros pour avoir abusé de sa position dominante sur le marché des systèmes d'exploitation des ordinateurs. 

La seconde est la réglementation sur les données personnelles et, en particulier, le Règlement général sur la protection des données (RGPD). Meta a ainsi été sanctionnée par la commission irlandaise pour la protection des données après avoir transféré des données personnelles vers les États-Unis en contradiction avec les dispositions du RGPD.

Cependant, l'activité et l'importance croissantes des plateformes numériques dans l'UE ces dernières années ont justifié de leur imposer des règles spécifiques. Comme l'indique Thierry Breton, commissaire français au marché intérieur au sein de la Commission européenne, le principe directeur de ces règles est simple : "tout ce qui est autorisé dans l'espace physique doit l'être dans l'espace numérique, mais tout ce qui est interdit dans l'espace physique doit également l'être dans l'espace numérique (…). L'Union européenne rappelle donc que c'est aux plateformes de s'adapter à nous, et non l'inverse" (Ouest-France, 15 décembre 2021). La volonté de soumettre les plateformes numériques aux règles et aux valeurs de l'UE s'est matérialisée en 2022 par l'adoption de deux textes majeurs qu'il convient de distinguer.

D'un côté, le règlement sur les marchés numériques adopté le 14 septembre 2022 (Digital Markets Act ou DMA ) instaure un contrôle a priori de l'activité des plateformes numériques dans une finalité concurrentielle en imposant plusieurs obligations visant à garantir l'ouverture et l'équité des marchés numériques. Il en résulte que le DMA complète la législation sur la concurrence qui s'applique uniquement a posteriori, c'est-à-dire une fois que les comportements anticoncurrentiels ont été constatés. Le DMA astreint les plateformes numériques à de nombreuses obligations comme laisser la possibilité à leurs utilisateurs de pouvoir se désabonner et désinstaller facilement les applications qu'elles proposent, assurer l'interopérabilité de leurs principaux services de messagerie avec d'autres services similaires, ou bien prendre soin de ne pas favoriser leurs produits et services par rapport à ceux de vendeurs tiers.

De l'autre, le règlement sur les services numériques adopté le 19 octobre 2022 (Digital Services Act ou DSA) protège les droits fondamentaux des consommateurs en ligne en imposant aux plateformes numériques des contraintes diverses en matière de transparence et d'information (modération des contenus, etc.), de lutte contre les contenus illicites (création de signaleurs de confiance, etc.) ou encore de publicité (interdiction de la publicité visant les mineurs, etc.).

L'effectivité des règles applicables aux plateformes numériques suppose de vérifier leur bonne exécution. Pour cela, un double contrôle est opéré : le premier peut être qualifié d'"administratif" car il est exercé par les autorités administratives (européennes et/ou nationales), tandis que le second est dit "juridictionnel" dans la mesure où il est mis en œuvre par un juge. Ce dernier apparaît lorsqu'un litige émerge entre les autorités administratives et les plateformes numériques au cours du contrôle administratif. Dans un tel cas, les plateformes numériques peuvent saisir le juge pour lui demander d'annuler une décision prise par une autorité administrative.

Chaque réglementation européenne organise un contrôle administratif adapté et dont les modalités divergent principalement à deux niveaux :

• d'une part, l'autorité administrative chargée de ce contrôle varie. Le contrôle administratif est habituellement assuré conjointement par des autorités européennes et nationales. Par exemple, pour l'application des articles 101 et 102 du TFUE, le contrôle est assuré par la Commission européenne et, pour la France, par l'Autorité de la concurrence, pour le du RGPD, c'est le Comité européen de protection des données et la CNIL), pour le DSA, c'est la Commission européenne et l'Arcom. Dans d'autres cas, la Commission européenne est la seule autorité chargée du contrôle administratif, à l'image du DMA ;
• d'autre part, les moyens dont bénéficient les autorités administratives pour effectuer leur contrôle fluctuent selon l'étendue de leurs pouvoirs d'enquête et de coercition. Les pouvoirs d'enquête permettent de recueillir les informations nécessaires pour surveiller l'activité des plateformes numériques et se concrétisent par des inspections, des auditions ou encore des droits d'accès à des informations déterminés. Les pouvoirs de coercition servent à contraindre les plateformes numériques à se conformer à leurs obligations et se matérialisent principalement par des sanctions pécuniaires (amendes ou astreinte).

L'efficacité du contrôle administratif doit par ailleurs être relativisée car elle peut varier en fonction de plusieurs facteurs. 

En premier lieu, son déclenchement n'est pas automatique étant donné qu'il résulte soit d'une plainte d'un particulier (consommateur, concurrent, lanceur d'alerte, etc.), soit d'une initiative de l'autorité de contrôle. Dans le cas d'une plainte d'un particulier, l'autorité saisie dispose généralement d'un délai de deux mois pour répondre et décider d'ouvrir une enquête et, si elle s'abstient de répondre ou refuse d'agir, le particulier peut contester devant le juge sa carence ou son refus afin de la forcer à enquêter sur la plateforme. 

En deuxième lieu, les autorités de contrôle possèdent, bien souvent, des ressources limitées qui les conduisent à se concentrer sur les affaires de principe ou les plus importantes. 

En dernier lieu, il est aussi possible d'ajouter que le contexte (politique, médiatique, etc.) ou des éléments d'opportunités divers peuvent jouer un rôle déterminant pour accélérer ou retarder le contrôle administratif s'appliquant aux plateformes.

Les réglementations européennes qui s'imposent aux plateformes numériques prévoient majoritairement des "sanctions administratives", c'est-à-dire des décisions adoptées par l'administration pour réprimer un comportement fautif. Les sanctions administratives - c'est le cas des règles de la concurrence, ainsi que du DMA et du DSA - se distinguent donc des "sanctions pénales" qui sont prises par une autorité juridictionnelle (emprisonnement, etc. comme c'est le cas du RGPD qui autorise les États membres à prévoir des sanctions pénales).

Bien que les sanctions administratives prennent des formes diverses (blâmes, suspensions ou interdictions d'activité, retraits d'autorisation ou d'agrément, etc.), les réglementations applicables aux plateformes numériques recourent très largement aux sanctions pécuniaires. C'est le cas du droit européen de la concurrence qui accorde à la Commission européenne le pouvoir d'infliger des amendes et des astreintes dont le montant est calculé selon la gravité de l'infraction et sa durée. Dès lors, de nombreuses plateformes ont été lourdement sanctionnées. Google a reçu une amende de 2,42 milliards d'euros en 2017 (Google a tenté de la faire annuler, mais le 10 septembre 2024, la Cour de justice de l'UE l'a confirmé), de 4,34 milliards d'euros en 2018 et de 1,49 milliard d'euros en 2019. Apple a été sanctionnée d'une amende de 1,84 milliard d'euros en 2024. 

Dans le même esprit, la CNIL a sanctionné entre 2020 et 2022 plusieurs plateformes (Google, Facebook, Amazon, Apple et Microsoft) pour avoir violé les règles sur les données personnelles. Les DMA et DSA prévoient pareillement la possibilité d'infliger des amendes et des astreintes aux plateformes qui ne respectent pas leurs obligations. Le montant des amendes est plafonné :

• pour le DMA, il peut atteindre 10% du chiffre d'affaires mondial annuel de la plateforme, voire 20% en cas de récidive ; 
• pour le DSA, ce montant est limité à 6% du chiffre d'affaires mondial annuel de la plateforme), de même que celui des astreintes (jusqu'à 5% du chiffre d'affaires journalier mondial de la plateforme).

En outre, le DMA et le DSA complètent leur arsenal de sanctions à l'encontre des plateformes numériques par des mesures non pécuniaires. Le DMA prévoit qu'en cas de violation répétée de ses obligations par une plateforme, des mesures supplémentaires peuvent être infligées et susceptibles d'aboutir, en dernier recours, à la cession de parties de l'entreprise. De son côté, le DSA permet de suspendre temporairement le service fourni par une plateforme si une infraction persiste et cause un préjudice grave aux utilisateurs.

Une fois imposées, ces sanctions administratives peuvent être contestées devant un juge qui peut décider de les annuler ou les confirmer.

L'application des réglementations européennes aux plateformes numériques engendre de très nombreux contentieux devant le juge de l'UE, qu'ils portent sur l'interprétation et l'application des règles (qualification d'un comportement, violation d'une disposition, etc.) ou encore sur le calcul du montant des amendes (estimation de la durée de l'infraction, etc.). Ce constat se vérifie depuis 2022 avec la mise en œuvre du DMA et du DSA qui entraîne l'apparition d'une multitude de litiges qu'il est possible de classer en deux catégories : les premiers sont relatifs aux champs d'application du DMA et du DSA tandis que les seconds concernent le respect des obligations qu'ils prévoient.

Les premiers contentieux résultent de la contestation par les plateformes numériques de leur soumission aux règles du DMA et du DSA.

Le DMA saisit les plateformes numériques (désignées comme "contrôleurs d'accès") à travers trois critères cumulatifs : 

• le premier exige que la plateforme ait un poids important sur le marché intérieur, ce qui est présumé lorsqu'elle fournit le même "service de plateforme essentiel" (moteurs de recherche, réseaux sociaux, plateformes de partage de vidéos, etc.) dans au moins trois États membres et que son chiffre d'affaires annuel dans l'UE est supérieur ou égal à 7,5 milliards d'euros ou bien que sa capitalisation boursière atteint au moins 75 milliards d'euros;
• le deuxième impose que la plateforme fournisse "un service de plateforme essentiel" qui constitue un point d'accès majeur permettant aux entreprises utilisatrices d'atteindre leurs utilisateurs finaux. Ce critère est présumé validé si une plateforme fournit ce type de service à au moins 45 millions d'utilisateurs finaux actifs par mois et au moins 10 000 entreprises utilisatrices actives au sein de l'UE;
• le dernier requiert que la plateforme jouisse d'une position solide et durable, dans ses activités, ou jouira, selon toute probabilité, d'une telle position dans un avenir proche, ce qui est présumé dans l'hypothèse où les seuils du deuxième critère ont été validés au cours de chacun des trois derniers exercices.

Sur la base de ces critères, la Commission européenne a désigné Alphabet, Amazon, Apple, Booking, ByteDance, Meta et Microsoft en tant que "contrôleurs d'accès" au sens du DMA. Mais plusieurs entreprises ont contesté cette décision. 

C'est le cas de ByteDance (propriétaire de TikTok) qui reproche à la Commission européenne d'avoir commis, notamment, une erreur dans l'application du premier critère car son chiffre d'affaires dans l'UE est faible et que sa valeur marchande globale est principalement due à ses activités en Chine. Dans un arrêt du 17 juillet 2024, le Tribunal de l'UE a néanmoins rejeté cette argumentation en estimant que si le chiffre d'affaires de ByteDance était effectivement sous le seuil de présomption prévu par le DMA (7,5 milliards d'euros), sa valeur marchande globale le dépasse (75 milliards d'euros) et qu'un ensemble d'éléments confirme que cette entreprise a bien un poids important sur le marché de l'UE (augmentation continue du chiffre d'affaires, du nombre d'utilisateurs finaux, etc.). Apple et Meta ont également attaqué la décision de la  Commission européenne de les soumettre au DMA et ces requêtes sont en cours de traitement.

À la différence du DMA, le DSA s'applique à un plus grand nombre de plateformes numériques auxquelles il va imposer des exigences différentes selon leur taille. Les plateformes qui doivent respecter les contraintes les plus élevées sont celles qui touchent environ 10% de la population de l'Union, c'est-à-dire plus de 45 millions d'utilisateurs. 

À partir de ce critère, la Commission européenne a désigné, le 25 avril 2023,  17 "très grandes plateformes en ligne" (Alibaba AliExpress, Amazon Store, Apple App Store, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, X (ex-Twitter), Wikipedia, YouTube, Zalando) et deux "très grands moteurs de recherche en ligne" (Bing et Google Search). Cette liste a par la suite été complétée avec l'ajout : 

• le 20 décembre 2023, de trois sites pornographiques (XVideos, Pornhub et Stripchat) ;
• le 26 avril et 31 mai 2024, des entreprises Shein et Temu;
• le 10  juillet 2024, du site pornographique XNXX.

Plusieurs plateformes ont toutefois contesté la décision de la Commission européenne car elles estiment que les services qu'elles proposent ne sont pas ceux visés par le DSA ou qu'elles sont en dessous du seuil des 10% de la population de l'UE. Il en va de Zalando, Amazon, Xvidéos, Pornhub, ou encore Stripchat.

La seconde catégorie de contentieux découle de la remise en cause par les plateformes numériques des obligations prévues par le DMA et le DSA.

À ce jour, il existe peu de contentieux sur le régime du DMA. Toutefois, de nombreux litiges sont prévisibles car la Commission européenne procède en ce moment à plusieurs dizaines d'enquêtes en vue de déterminer si des plateformes ont violé les dispositions du DMA et, en particulier : 

• l'obligation d'assurer l'interopérabilité de leurs services (messagerie, etc.) ;
• l'obligation de permettre aux utilisateurs professionnels de communiquer et promouvoir gratuitement leurs offres aux consommateurs ;
• l'interdiction d'imposer l'utilisation de leurs services (navigateur internet, service de paiement, etc.) ;
• l'obligation de non-discrimination entre les services qu'elles proposent et ceux des tiers.

Il en va différemment du DSA pour lequel des contentieux relatifs à son régime ont déjà émergé. Tout d'abord, des plateformes contestent le montant de la redevance qu'elles doivent verser à la Commission européenne pour financer la surveillance de leur activité. Ce montant est calculé pour chaque plateforme sur la base de plusieurs critères fixés par le DSA (frais engagés, nombre mensuel moyen de destinataires actifs dans l'Union de chaque plateforme, etc.). Ce système de redevance n'existe que dans le cadre du DSA, le DMA ne le prévoit pas. 

Ensuite, des plateformes cherchent à adapter ou écarter les obligations de transparence imposées par le DSA, telle la plateforme pornographique Pornhub qui souhaite être dispensée de l'obligation de tenir un registre de publicité au motif que cette exigence lui porte une atteinte injustifiée à sa liberté d'entreprise et à son droit de propriété tout en compromettant la sécurité des personnes proposant de la publicité sur son site. Enfin, les prochaines élections politiques vont inéluctablement aboutir à de nouveaux contentieux dans les prochains mois car la Commission européenne vérifie actuellement le respect par certaines plateformes de leurs obligations en matière de lutte contre la désinformation. Cette situation concerne, en particulier, les plateformes X, TikTok, AliExpress, ou encore Meta.