Digital Markets Act (DMA) : beaucoup de commentaires mais pas encore de texte

La version initiale du DMA é été publiée par la Commission européenne mi-décembre 2020. L’accord intervenu le 24 mars en trilogue devrait maintenant permettre sa finalisation rapide, puis son entrée en vigueur dans les 6 mois. Le texte vise les gatekeepers opérant au moins dans trois Etats-membres, comptant plus de 45 millions d’utilisateurs, et réalisant plus de 7,5 Mds€ de chiffre d’affaires (ou valorisés à plus de 75 Mds€).

 Figurant depuis la fin 2020 parmi les projets phares de l’actuelle Commission européenne (lire : Margrethe Vestager et Thierry Breton dévoilent la future régulation européenne du numérique), le Digital Markets Act (DMA) a fait l’objet d’un « accord politique provisoire entre le Conseil et le Parlement européen », indiquait le 25 mars, à 0 heure 5, un communiqué de la présidence française. Mais une semaine après la conclusion de ce dernier, il reste impossible d’obtenir le détail du texte sur lequel ce consensus a été réuni, limitant la capacité à en analyser avec précision les évolutions, et forçant à s’en remettre aux indications communiquées par les participants.

La proposition de règlement européen « relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques) » a été publié le 15 décembre 2020.

Un texte visant les « gatekeepers »

Le texte est destiné à compléter les règles de la concurrence prévalant dans l’Union. Il vise les « gatekeepers », acteurs systémiques ou plateformes structurantes, et a pour premier objet de les caractériser.

Ces derniers devront respecter différentes obligations : en matière notamment d’interopérabilité (s’il développent un service complémentaire comme une solution de paiement, ils devront le mettre à disposition de leur concurrents) et d’utilisation des données (ils ne pourront plus utiliser les données de toutes les entreprises qu’il héberge par exemple).

En pratique, les entreprises concernées ne pourront plus empêcher la désinstallation d’applications ou services intégrés par défaut.

A la différence du Digital Services Act (DSA), le DMA est un règlement ex ante qui vise à permettre une action rapide pour éviter les distorsions de concurrence.

Dans sa version initiale, le DMA visait les entreprises qui réalisent dans l’UE un chiffre d’affaires de plus de 6,5 milliards d’euros ou dont la valorisation boursière supérieure à 65 milliards, présents dans trois États membres et comptant plus de 45 millions d’utilisateurs finaux, dont plus de 10 000 entreprises. Il reviendra aux entreprises de vérifier si elles entrent dans ces critères. La Commission validera ou non leur appréciation (présomption réfragable).

Les acquisitions resteront permises sous réserve d’une notification à la Commission, quelle que soit la taille de la cible. Celle-ci examinera si l’opération renforce ou non la position de l’acquéreur.

Le DMA « permettra à la Commission de mener des enquêtes de marché et de sanctionner les comportements non conformes », se félicitait le 24 mars au soir un communiqué du Parlement européen. Les sanctions financières prévues par le texte de décembre 2020 étaient de 10 % du CA mondial de l’exercice précédent.

Champ d’application resserré

Confirmant que le DMA a vocation à s’appliquer aux « grandes entreprises fournissant des services de plateforme “essentiels” (…) comme les réseaux sociaux ou les moteurs de recherche », le communiqué marque une première évolution, par rapport au projet initial, en restreignant le champ d’application du DMA à celle « dont la capitalisation boursière atteint au moins 75 milliards d’euros ou dont le chiffre d’affaires annuel dépasse les 7,5 milliards d’euros ».

« La plateforme doit contrôler un ou plusieurs services de plateforme de base (“core platform services”) dans au moins trois États membres, complète la présidence française. Ces services de plateforme de base comprennent les places de marché et les boutiques d’applications, les moteurs de recherche, les réseaux sociaux, les services en nuage, les services de publicité, les assistants vocaux et les navigateurs web (…) Afin d’assurer le caractère progressif de ces obligations, une catégorie de “contrôleur d’accès émergent” est également prévue. Elle permettra à la Commission d’imposer certaines obligations aux entreprises dont la position concurrentielle est démontrée mais pas encore durable ».

Pas de modification, en revanche, concernant le nombre d’internautes qui ont recours à leurs services : « 45 millions d’utilisateurs finaux par mois dans l’UE et 10 000 utilisateurs professionnels par an ».

Une plateforme peut contester sa désignation en tant que gatekeeper « au moyen d’une procédure spécifique qui permettra à la Commission de vérifier la validité de ces arguments », indique la présidence française. C’est à la Commission que reviendra plus largement la mise en œuvre de l’ensemble du dispositif.

Les sanctions encourues en cas d’infraction au DMA restent elles aussi inchangées : des amendes allant jusqu’à 10 % du chiffre d’affaires mondial de l’exercice précédent (et jusqu’à 20 % en cas de récidive), auxquelles s’ajoutera la possibilité pour la Commission, « en cas d’infraction systématique » (trois infractions constatées en huit ans), d’interdire au gatekeeper d’acquérir d’autres entreprises pendant une période donnée.

Lors du trilogue du 24 mars, « les législateurs de l’UE ont convenu que les plus grands services de messagerie (tels que WhatsApp, Facebook Messenger ou iMessage) devront s’ouvrir et être interopérables avec les plus petites plateformes de messagerie, si elles en font la demande », permettant à l’utilisateur final « d’échanger des messages, envoyer des fichiers ou passer des appels vidéo sur toutes les applications ».

Contraintes d’interopérabilité décalées pour les réseaux sociaux

« Concernant les obligations d’interopérabilité pour les réseaux sociaux, les co-législateurs ont convenu que de telles dispositions en matière d’interopérabilité seront évaluées à l’avenir », poursuit le communiqué.

Généralisation de l’Opt-in pour la publicité ciblée

S’agissant de la publicité ciblée, « le Parlement est aussi parvenu à garantir que l’association de données personnelles ne soit autorisée que si un consentement explicite est fourni au contrôleur d’accès », relève encore le Parlement. « Il a aussi tenu à inclure une exigence permettant aux utilisateurs de choisir librement leur navigateur, leur assistant virtuel ou leur moteur de recherche ».

« Le Parlement européen a permis de garantir que la législation produise immédiatement des résultats tangibles », se réjouit, comme en écho, le communiqué de la présidence française, soulignant également que « la législation évite toute forme de réglementation excessive pour les petites entreprises : (ces dernières) seront – hors cas exceptionnels – exemptées de la qualification de contrôleur d’accès ».

S’agissant de la conclusion du processus législatif, la présidence française précise que « le texte doit encore être adopté par le Parlement et le Conseil, (qu’il) entrera (ensuite) en vigueur 20 jours après sa publication au Journal officiel de l’UE et (que) les règles commenceront à s’appliquer six mois plus tard.

Mais avant même cette entrée en vigueur officielle, certains groupes semblent déjà anticiper les conséquences du DMA. C’est à cette aune, par exemple, que l’on peut interpréter l’accord conclu entre Spotify et Google, concernant la possibilité pour la plateforme suédoise de pouvoir utiliser son propre système de paiement dans les applications Android. Alors que le conflit durait depuis plusieurs mois, cet accord a été annoncé le 23 mars… veille du trilogue qui a débouché sur un accord entre Commission, Conseil et Parlement.