DSA / DMA : ce qu'il faut mettre en place pour s'y conformer
La Commission européenne a choisi de se doter de nouveaux outils pour améliorer la concurrence et mieux protéger les consommateurs de services et de produits numériques. Pour compléter sa directive de 2000 sur le commerce numérique, l'Union européenne a adopté deux nouveaux textes présentés par la Commission européenne : le Digital Market Act (DMA) et le Digital Services Act (DSA). Le DMA a été publié au Journal officiel le 12 octobre 2022 et sera mis en application à partir du 2 mai 2023. Le DSA a lui aussi été adopté et sera publié dans les prochains jours pour une mise en application en 2024. Ces deux textes touchent les activités des acteurs du numérique et notamment celles des retailers qui vont devoir s'adapter à ces nouvelles mesures.
Pour Eric Barbry, avocat associé équipe IP/IT et data dans le cabinet Racine Avocats, "le DSA entend mieux lutter contre les contenus illicites et proposer des services plus sûrs quand le DMA a une vocation concurrentielle : il compte rééquilibrer les rapports entre les géants du numérique et les autres acteurs".
DMA : qui est visé ?
Le DMA liste dix services : l'intermédiation (places de marchés, boutiques d'applications) ; les moteurs de recherche ; les réseaux sociaux ; les plateformes de partage de vidéos ; les messageries en ligne ; les systèmes d'exploitation ; les services de cloud ; les services publicitaires ; les navigateurs web et les assistants virtuels.
Le règlement DMA cible les entreprises contrôleur d'accès, ou gatekeepers, qui ont du poids sur le marché ou sont un point d'accès important à leur clientèle pour leurs entreprises utilisatrices. Sont présumées gatekeepers :
- les entreprises qui fournissent un ou plusieurs services essentiels dans au moins trois pays européens
- ont un chiffre d'affaires de 7,5 milliards d'euros en Europe sur les trois dernières années ou 75 milliards d'euros de capitalisation boursière sur la dernière année,
- enregistrent plus de 45 millions d'utilisateurs dans l'Union européenne par mois ou 10 000 professionnels utilisateurs par an sur les trois dernières années.
"Ces gatekeepers doivent informer la Commission européenne de leur statut et la Commission peut aussi les qualifier d'office", indique Alexandra Iteanu, avocate IP/IT chez Iteanu Avocats.
Les obligations posées par le DMA
Pour l'avocate, "les gatekeepers doivent permettre une concurrence libre et loyale et donner la possibilité aux entreprises intermédiaires de se développer, d'accéder à leurs données. Ils vont aussi devoir communiquer des informations gratuitement sur la publicité en ligne par exemple. C'est une obligation de transparence".
Les gatekeepers doivent permettre une concurrence libre et loyale
Le gatekeeper ne doit pas se mettre en avant et s'abstenir de proposer uniquement ses services, en admettant des services de paiement tiers par exemple. Il y a des obligations comme faciliter l'abonnement ou le désabonnement, permettre de désinstaller une application préinstallée, donner accès au vendeur à ses performances publicitaires, ne plus imposer de logiciel par défaut, ne plus favoriser ses propres produits.
"Un acteur de la réservation d'hôtel qui interdit aux hôtels de vendre moins cher que chez lui ne le pourra plus, les plateformes de messages vont devoir s'ouvrir à d'autres outils de communication, et encore, les grandes marketplaces ne devront pas mettre en avant leurs propres produits en priorité. L'objectif du texte est de ne pas dominer technologiquement la concurrence", ajoute Eric Barbry de Racine Avocats.
Les sanctions prévues par le DMA
Le contrôleur d'accès pourra recevoir une amende allant jusqu'à 10% du chiffre d'affaires mondial total et jusqu'à 20% de ce même chiffre d'affaires mondial en cas de récidive. Des astreintes allant jusqu'à 5% du chiffre d'affaires journalier total pourront aussi être prononcées.
DSA : qui est visé ?
"Le DSA vise les utilisateurs de plateformes de services intermédiaires, l'objectif est de s'assurer que ce qui est illégal dans le monde physique l'est aussi dans le monde numérique", explique Alexandra Iteanu. Le DSA s'applique donc à tous les intermédiaires en ligne qui offrent des services, que ce soient des biens, du contenu ou des services sur le marché européen, qu'ils soient établis en Europe ou ailleurs.
Ce qui est illégal dans le monde physique doit aussi l'être dans le monde numérique
Sont concernés les fournisseurs d'accès à Internet, les services de cloud, les plateformes comme les places de marchés, les boutiques d'application, les réseaux sociaux, les plateformes de partage de contenu, de voyage ou d'hébergement.
Une distinction est faite entre l'ensemble de ces acteurs et les très grandes plateformes en ligne et moteurs de recherche qui sont utilisés par plus de 45 millions d'Européens chaque mois. Ces dernières sont désignées comme very large open platform (VLOP) et vont se voir apposer des obligations supplémentaires.
Les obligations posées par le DSA
"Il faut que nous puissions savoir qui est la plateforme et comment lui demander quelque chose avec un point de contact unique, explique Eric Barbry. Si la plateforme est étrangère, elle doit avoir un représentant légal dans l'Union Européenne", ajoute-t-il.
Les plateformes sont tenues de permettre aux internautes de signaler facilement un contenu illicite et de rapidement le retirer, ou bloquer l'accès à ce contenu illégal, tout en fournissant l'exposé des motifs de retrait. Pour cela, elles vont coopérer avec des signaleurs de confiance, un statut attribué dans chaque pays à des entités ou à des organisations en raison de leurs expertises. Les notifications de ces signaleurs devront être traitées en priorité. Les marketplaces devront aussi faire preuve de vigilance envers les vendeurs tiers et mieux les tracer.
Chaque année, les plateformes seront dans l'obligation de publier des rapports de transparence expliquant leurs décisions en matière de modération de contenus. Elles devront aussi prévoir un système de traitement interne des réclamations permettant aux comptes suspendus ou résiliés de contester cette décision.
Les obligations posées au VLOP
Les très grandes plateformes vont devoir proposer un système de recommandation de contenus non fondé sur le profilage et mettre à disposition du public un registre des publicités expliquant qui a parrainé l'annonce, comment et pourquoi elle cible tels individus. La publicité ciblée est interdite sur les mineurs. Ces très grands acteurs devront analyser tous les ans les risques systémiques qu'ils génèrent et expliquer comment ils les gèrent, que ce soit par la modération, la mise en place de meilleures relations avec les signaleurs de confiance ou d'un code de conduite.
Ces plateformes seront aussi soumises à un double contrôle, "avec d'un côté un auditeur indépendant qui vérifie le respect des obligations et du code de conduite, et de l'autre, un contrôle à double détente par l'Etat avec un coordinateur des services numériques et un contrôle opérationnel par la Commission européenne", détaille Eric Barbry. L'ensemble des plateformes visées par le DSA est soumis à ce double contrôle, au sein de l'Etat par un coordinateur des services numériques et au sein de l'UE avec le comité européen des services numériques qui réunira ces 27 coordinateurs. Les VLOP devront en plus donner accès à leurs algorithmes à la Commission et aux autorités nationales compétentes.
Les sanctions prévues par le DSA
En cas de non-respect du DSA, les coordinateurs des services numériques et la Commission pourront prononcer des astreintes et des sanctions. Pour les VLOP, ces amendes pourront aller jusqu'à 6% du chiffre d'affaires mondial.
Mise en conformité nécessaire
Le DSA et le DMA nécessitent une réorganisation interne à la fois technique, humaine et dans les processus mis en place. "Nous commençons à voir arriver des demandes de retailers sur les conditions générales d'utilisations et la réorganisation technique et humaine pour laquelle nous accompagnons certains clients, dévoile Alexandra Iteanu. Tout va dépendre de la taille de la structure en question. Certains sont déjà conformes à la directive de 2000 donc l'adaptation n'est pas trop complexe, d'autres vont repartir de zéro et cela aura un coût", continue l'avocate. Alexandra Iteanu applique la même recette que lors de la mise en application du RGPD : "Nous mettons en place des mesures et nous verrons avec le temps et la pratique si cela fonctionne. Le texte est dense et est déjà suffisant pour mettre en place des obligations", conclut-elle.